使用JWT进行身份验证后在哪里存储信息
我是身份验证方面的新手。我有一个应用程序,登录后,向服务器发送凭据,服务器生成JWT令牌并将其发送回客户端(移动设备)。
这是我的问题:在JWT可用后,我应该在哪里存储即将到来的请求的信息?例如,如果我想发送POST请求,我有两种方法:
-
< li >在请求的< code>body上存储所需的信息 < li >使用< code>Base64中的< code>JSON格式对信息进行编码后,将其存储在< code>JWT的< code >有效负载上
也许我错了,这些不是解决方案。我只是想知道这项工作的最佳(标准)方法是什么?
共有2个答案
JWT 令牌应作为持有者令牌与客户端向服务器发出的每个请求一起发送。
它通常使用承载模式添加到授权头中。
Authorization: Bearer <token>
有关JWT代币的更详细解释,请参见https://jwt.io/introduction/
Jwt令牌将为每个请求来回发送,正如注释中提到的,您不能修改它们。
令牌可以作为授权标头中的持有者令牌发送。
授权:承载
对于您正在执行的API请求的请求参数,您可以将它们作为post请求正文的一部分发送。
另外,您的请求仍然容易受到CSRF的攻击。您可以使用csrf任何库来生成csrf令牌。这将为您的应用程序提供更好的安全性。
-
jwt不应该仅仅用于认证用户吗?我读到过可以在里面存储非敏感的东西,比如用户ID。将权限级别之类的东西存储在令牌中可以吗?这样我可以避免数据库调用。
-
但请求呢?和是用户的属性,但应将它们发送到endpoint。如果我将资源发送到endpoint,则没有多大意义。 对此有没有办法,遵循JSONAPI并保持API的意义?
-
我正在开发一个具有自己的身份验证和授权机制的REST应用程序。我想使用JSON Web Tokens进行身份验证。以下是有效且安全的实现吗? < li >将开发一个REST API来接受用户名和密码并进行认证。要使用的HTTP方法是POST,因此没有缓存。此外,在传输时还会有安全SSL < li >在认证时,将创建两个JWTs访问令牌和刷新令牌。刷新令牌将具有更长的有效期。这两个令牌都将写入coo
-
我正在尝试使用urllib3连接到网页。代码如下所示。 如果我们假设url是需要使用用户名和密码进行身份验证的某个网页,那么我是否使用正确的代码进行身份验证? 我使用urllib2做这件事很舒服,但使用urllib3做不到同样的事情。 非常感谢
-
我正在尝试为我的应用程序构建一个身份验证解决方案。我使用React作为前端,使用API模式下的Rails作为后端。我有一个外部身份验证解决方案,我需要使用它。我无意中发现了Knock for JWT令牌管理,但我不理解文档,尤其是这部分“它必须有一个身份验证方法,类似于has_secure_password添加的方法”,因为由于我的外部身份验证服务,我没有用户模型。因此,在我的头脑中,登录请求将发
-
我正在使用SpringBoot开发具有微服务架构的Rest Backend。为了保护endpoint,我使用了JWT令牌机制。我正在使用Zuul API网关。 如果请求需要权限(来自JWT的角色),它将被转发到正确的微服务。Zuul api网关的“WebSecurityConfigrerAdapter”如下。 这样,我必须在这个类中编写每个请求授权部分。因此,我希望使用方法级安全性,即“Enabl