JSON Web令牌与Web Api中的承载令牌
我在用阿斯匹林。网络应用程序
我很困惑。我已经使用JSON网络令牌。我明白这一点。已知经典的 JSON 网络令牌。标头、有效负载、签名、自包含。客户端可以查看索赔数据。
但是不记名令牌是什么呢?不记名令牌也是独立的。我们可以通过不记名令牌访问令牌的数据。客户端看不到索赔数据。
那我们为什么不使用不记名令牌呢?不记名代币不是标准吗?有没有像 JWT 持有者令牌这样的东西?
以及如何在 MVC Web API 中生成自定义持有者令牌 ASP.NET?
共有1个答案
JWT 是一种以编码的 JSON 格式包含用户信息的格式。
<代码>但是不记名令牌是什么?
无记名令牌意味着当一方出示无记名令牌时,它就被允许访问资源。我们不验证请求方。拥有无记名令牌就足够了。
有没有类似JWT无记名令牌的东西?
JWT令牌也可以作为不记名令牌服务器。Ex在Azure AD中使用oAuth协议进行身份验证。
那我们为什么不使用无记名令牌?
当您不想盲目信任无记名令牌所在的一方时,您不要使用无记名令牌。在这种情况下,您还想验证请求方。在这种情况下,您可能希望使用SAML令牌。
如何在MVC Web API中生成自定义ASP.NET无记名令牌?
令牌的生成是身份提供者的工作。在我工作的地方,流程就像-Azure AD生成JWT格式的不记名令牌。然后将令牌发送到受Azure ad保护的资源,然后允许访问。
我希望我已经回答了你的疑问。如果你还有任何疑问或问题,请告诉我。如果有人能指出答案中的任何错误(如果有的话),我会非常高兴。
-
我在做概念验证。我正在使用Azure Active Directory并试图在遗留项目中实现OAuth。 这个项目的一半使用Web表单,另一半直接通过JavaScript在另一个项目中调用WebAPI。 作为一个测试,我通过UseOpenIDConnectauthEntication的AuthorizationCodeReceed通知事件获得承载令牌。我使用以下代码将令牌快速写入调用WebAPI的
-
我在调用rest api时尝试使用承载令牌时遇到一些问题。 我尝试了两种方法,结果相同: 我在azure门户中创建了一个应用注册,并授予它使用devops api进行用户模拟的权限。 我在中创建了一个应用程序https://app.vsaex.visualstudio.com/并授予it项目/团队管理权限。 对于我的代码,我使用了这个(当我使用PAT进行身份验证时有效) 我使用以下示例获取令牌:h
-
我正在使用改型2.0在Android上构建一个Bitbucket REST客户端。 就我而言,OAuth2.0提供了“隐式授权”,当用户在提示下登录到他们的帐户时,它立即向客户机提供访问承载令牌。 承载令牌是可用于访问受保护资源的令牌。任何拥有承载令牌的人与其他拥有承载令牌的人一样,都有权访问受保护的资源。(根据IETF的这份文件) 如果我错了,请纠正我,但我认为使用隐式授权,在用户登录到他们的B
-
如何使用Live PayPal ClientID和密钥从PayPal https://api-M.PayPal.com/v1/oauth2/Token API调用中获得访问/承载令牌。 我在调用Postman中的API之前使用了下面的设置 基本Auth类型。主体tab=x-www-form-urlencoded。grant_type=client_credentials 我得到以下响应时调用以上A
-
下午好 我正在做一个有两个应用程序的项目,第一个是一个php应用程序,它为我提供了一个API。第二个是我正在开发的应用程序(Java8base,no Spring)。我的问题是:我可以使用HttpURLConnection对象使用承载令牌授权吗? 我仍在努力实现这一点,但它似乎使“Authorization”的值为空。 HttpApi.get请求属性(授权));这部分给我一个空响应,我不知道为什么
-
当一个人试图使用azure AD承载令牌访问我们的系统时,这个获取和缓存资源令牌的工作流程是不存在的。 所以我的问题是,我如何使用承载令牌来启用它?如何才能像使用OpenIDConnect一样请求额外的资源令牌?是否可以使用ADAL从承载令牌获取授权代码?