在JWTS的情况下,SPA和移动应用程序是否都到达同一个endpoint进行身份验证?
我正在做一个REST服务器,它将同时具有单页应用程序的形式和原生移动应用程序的形式的web客户机。我在研究如何使用JWTs使服务器无状态。到目前为止,我所理解的是:
- 身份验证endpoint在提供正确的凭据后返回两个令牌,即访问和刷新令牌。
- 出于安全原因,这些令牌应存储在浏览器上的“仅限于HTTP”cookie中。
-
null
上面的方法是正确的,还是我们对它们都有一个单一的endpoint。另外,请帮助如何使用django-rest-framework-simplejwt实现这一点。
共有1个答案
您不需要为spa和移动应用程序创建两个不同的身份验证视图。在移动设备上,您只需要在设备上存储刷新和访问令牌,不管它是在内存中还是在磁盘上或其他地方。但是无论哪种方式,您都将从相同的视图中获得令牌。然后,您需要将它们包含在authorization标头中,以及对API的任何需要授权的请求,如下面的文档所述:https://github.com/davesque/django-rest-framework-simplejwt#usage
-
我在决定如何为一个RESTful API实现身份验证时遇到了一些麻烦,该API既可供web应用程序使用,也可供移动应用程序使用。 首先,我想研究HTTPS上的HTTP基本身份验证作为一种选择。对于移动应用程序来说,用户名和密码可以安全地存储在操作系统钥匙链中,并且在传输过程中无法被拦截,因为请求是通过HTTPS发出的。对于API来说,它也很优雅,因为它将是完全无状态的。问题在于web应用程序。将无
-
现在我想知道如何集成刷新令牌。如何确保用户只能使用已颁发给该设备的有效刷新令牌获得新的访问令牌?或者,我是否使事情过于复杂,并分配一个刷新令牌,可以在alle设备上使用,这将是一个诀窍? 更新:我已经研究了doorkeeper gem,它支持密码授予流。但是doorkeeper处理令牌的方式是,它将每个生成的访问令牌与相应的刷新令牌存储在数据库中。当令牌被撤消或刷新时,旧的访问令牌将失效--随着时
-
我有一个API服务器(资源服务器)和多个应用程序、Web GUI(SPA)和一个桌面客户端,也许还会有更多。除了超文本传输协议之外,我还想为我的API服务器使用openid-connect基本身份验证。应该可以配置使用哪个openid提供商。我自己的,facebook,google...我只想做身份验证,我不需要他们的API。我只需要一些个人资料数据,如电子邮件或名字。 比方说,我已经将googl
-
问题内容: 我正在使用javax.mail用Java发送邮件。现在,项目概念的一部分已更改,我必须发送未经身份验证的邮件。我将不得不更改我的createSession()方法: 很明显,我应该更改为,但是我还应该更改什么? 问题答案: 我认为,就足够了。
-
我们有一个使用REST API的Web应用程序。RESTAPI基于环回并使用其内置的基于令牌的身份验证。对于Web应用程序,我们通过HTTPS使用基于表单的身份验证,因此用户必须输入其用户名和密码,然后我们使用这些用户名和密码通过POST/users/loginendpoint从REST API获取访问令牌。 我们的一位客户要求我们通过SAML 2.0和AD FS支持单点登录(SSO)身份验证。
-
我想为登录创建自定义endpoint。 当密码和用户名正确时,它可以正常工作,但对于不正确的数据返回200和登录表单而不是401。 public-class-SecurityConfiguration扩展了WebSecurityConfigurerAdapter{private-final-UserDetailsService-UserDetailsService; }