鉴于OpenID Connect使用JWTs进行身份验证,安全性如何保证?
-
null
共有1个答案
通常,在使用OpenID Connect登录后,访问和ID令牌将返回给后端客户端。然后使用ID令牌创建一个传统的会话cookie。然后丢弃ID令牌。一旦建立了会话cookie,这就是保持用户登录的方式。ID令牌的生命周期通常非常短。访问令牌的目的是访问其他API和资源。
如果您遵循现代OAuth2.1原则,那么在使用OpenID Connect时就不会出现任何安全问题。
为了保证所有的安全性并减少复杂性,我建议不要在JavaScript中处理令牌,除非您真的知道自己在做什么。
-
我正在尝试通过连接到LDAP使用Spring Security进行我的第一个演示。 我使用的Sping版本是:3.1.0.RELEASE 以下是我的security-integration.xml: 然而,每当我部署我的战争时,我都会遇到这个例外: HTTP状态500 - 类型异常报告 消息 描述服务器遇到一个内部错误(),该错误阻止它完成此请求。 例外情况 javax.servlet。Servl
-
假设我们有以下部分的web安全配置:
-
我有一个节点项目 我试过的密码- 运行此命令时,当secret_password错误时,它会正确显示,但当它正确时,它只显示一个单词swagger,表示swagger。io链接。 我搜索了一下,但是没有得到任何关于这个的信息或者例子。我错过了什么吗?
-
在微服务中构建身份验证有几种方法。然而,使用JWT令牌和OAuth协议以及OpenID连接标识层是非常流行的。 在本教程解释如何实现这一目标时,有一个提示: 另一方面,我看到Ping标识也使用按引用传递的方法。你能帮我理解背后的道理吗?
-
我正在开发REST webService,我的一些客户机将使用我的webservices,所以为了识别真正的客户机,我决定给每个真正的客户机一个唯一的应用程序令牌。客户机将对这个令牌进行编码,他们将把这个令牌放在请求头中,我已经在我的REST webservices中配置了一个REST过滤器来验证令牌。我不想使用https。我的问题是,任何人都可以从我的客户端站点获取该令牌,并可以使用我的REST