Vue js jitsi会见JWT代币
我想知道是否有任何方法可以隐藏这个jwt令牌存储在我的vue js组件,从浏览器,因为这个vue组件使调用外部api的jitsi满足在我自己的jitsi服务器,但如果我给它检查在浏览器中,我可以在我的源代码中看到这个令牌,因此任何人都可以拿走我的令牌,利用我的jitsi服务器占用我的机器资源,我想到了从节点js调用api,但这很复杂,因为所有这个api调用它所做的是在DOM中加载一个iframe,并从节点js处理DOM是复杂的,所以我想知道是否有一个更简单的方法来隐藏这个令牌,因为我只需要它不被显式地看到在浏览器中检查源代码
创建iframe与外部api jitsi满足在DOM
共有1个答案
不幸的是,保持密钥的所有功能对公众完全不可访问的唯一方法是使用身份验证后端。
任何查看进出网站的请求的人都能看到与您使用公共前端完全相同的信息。因此,唯一完全安全的方法是通过密码识别用户并将其存储在服务器上。
有一种方法经常用于iframe,尽管您只接受来自您控制的域的请求。这将意味着,至少它将是更困难的其他人建立一个网站使用您的jitsi服务器,但并非不可能。
另一种方法是专门为前端创建一个后端,其中包含jitsi密钥,并且只允许访问您愿意公开的endpoint。例如,可以这样使加入房间被允许,但不能删除帐户。
我们经常用烧瓶做这样的简单后端
-
我正在尝试各种基于JavaSpring的安全实现,如下所示 1.JWT认证 用户访问 Springboot标识为受保护的资源,并将用户重定向到 /login 用户输入凭据和浏览器做一个POST /authenticate 服务器验证凭据并生成JWT令牌。设置为响应标头并重定向到/ 浏览器加载 /.AngularJS在响应标头中识别JWT令牌,并将其存储在本地存储中 所有后续调用都将在头中包含承载令
-
在身份验证等情况下,与会话相比,使用JWTs有什么优势? 它是作为独立方法使用还是在会话中使用?
-
我正在使用带有JWT的Spring Security来验证rest api。登录时,会生成JWT令牌并共享给移动客户端。但是,后续请求中的令牌没有经过验证。安全配置有什么问题吗? Spring Security版本-5.1.6。释放 //安全配置 //JWT Token Auth Filter——永远不会调用它 我希望登录后的所有请求都将根据JWT令牌进行身份验证。我尝试将要验证的服务的名称输入如
-
我读了很多关于JWT的书,以及如何通过JWT创建“无状态”会话。我理解的要点是因为签名 我不明白的是,如果您的用户需要注销,或者您需要在过期之前使会话无效,会发生什么情况? 从技术上讲,您可以指示浏览器从客户端删除它,但您不能确定这是否真的发生了。令牌本身在技术上仍然有效,如果没有遵循您的删除说明,它仍然可以使用。 这种理解正确吗?如果是这样,这难道不是客户端会话管理的一个巨大错误吗?除了让服务器
-
Stormpath 中有很多博客文章讨论了您应该如何使用 cookie 而不是 sessionStorage/localStorage 来存储您的 JWT: https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-web-storage https://stormpath.com/blog/token-auth-sp
-
我的项目正在基于构建身份验证服务。NET内核和nuget软件包。我们希望创建包含公钥证书(或证书链)的JWT令牌,该证书可用于验证JWT数字签名。这在商业身份提供者(SaaS)中是可能的,并且在JWT规范中通过称为“x5c”的头参数得到支持。但到目前为止,我无法使用。 我能够创建使用证书签名的JWT令牌。证书是使用openssl(下面包含的命令)自签名和创建的。我在C#中的测试代码如下所示: 生成