JWT验证了另一个浏览器中使用的令牌
我有一个项目设置(前端角)和后端(Laravel 5.6),我做了一个api调用,通过后端登录使用JWT(用于身份验证)在无效的情况下,错误消息返回,这似乎可以,但在正确的凭据令牌的情况下返回必须保存在客户端(使用本地存储)我复制然后令牌保存在本地存储,并试图从不同的机器和不同的浏览器登录也从两种情况下用户登录并重定向到仪表板。
我必须限制用户登录和重定向我如何才能做到我做错了什么?
共有1个答案
这是安全令牌的主要问题之一:如果攻击者拦截令牌,他可以从其他浏览器或应用程序使用它。这就是为什么强烈建议设置非常短的生存期(expclaim)
但希望RFC8471、RFC8472和RFC8473最近获得批准。这些规范允许将令牌绑定到HTTPS或HTTP连接,使得上述攻击实际上不可能发生。
在撰写本文时,浏览器并未广泛采用此功能。EDGE支持它(草稿版),Firefox或Chrome不支持移动。
-
null 问题: 如何在前端获取此? 有效负载可以保存关于用户的任何信息(而不是任何敏感信息,如密码)。由于JWT在途中可能被篡改,所以在前端不验证JWT的情况下使用有效负载信息不危险吗?
-
我正在学习Spring Boot 2.0和React的全栈开发。身份验证和授权由JWT管理,除了我必须在刷新浏览器后重新登录之外,应用程序按预期工作。如何在浏览器刷新后维护JWT令牌?
-
问题内容: 有谁知道在自动化过程中使用Selenium或任何其他工具来处理浏览器身份验证吗? 问题答案: 警报方法authenticateUsing() 使您可以跳过“ Http基本身份验证”框。 从Selenium 3.4开始,它仍处于测试阶段 现在,仅针对 InternetExplorerDriver
-
我一直在使用JWT库解码一个Json Web令牌,并希望切换到微软的官方JWT实现system . identity model . tokens . jwt 留档非常稀疏,所以我很难弄清楚如何完成我一直在使用JWT库所做的事情。对于JWT库,有一个Decode方法,它采用Bas64编码的JWT并将其转换为JSON,然后可以反序列化。我想使用System. IdtyModel. Tokens. J
-
问题内容: 我已经使用ASP.net Identity创建了承载令牌。在AngularJS中,我编写了此函数以获取授权数据。 所以 我想将此令牌存储到浏览器cookie中 。如果此令牌存在,则获取令牌并从IIS服务器获取数据,否则重定向到登录页面以登录以获取新令牌。 同样,如果用户单击注销按钮,则应从浏览器cookie中删除令牌。 这该怎么做 ? 有可能吗?验证和授权用户的正确方法吗?如果有多个用