cookie会被用于Web API吗?承载令牌会被用于Web应用程序吗?
我试图理解饼干之间的区别;特别是.NET核心上下文中的JWT。我花了几天时间来研究这件事。
我的研究正在告诉我,Cookie和承载是可供选择的身份验证机制,它们都被表示为JWT。
说.NET核心web应用程序应该使用Cookie,.NET核心web API应该使用承载,这样说公平吗?我这样问的原因是,我看到的每个Bearer示例(在.NET核心上下文中)都使用Web API,我看到的每个Cookie示例(在.NET核心上下文中)都使用Web应用程序。我能理解这一点,因为我的研究告诉我,cookie最适合web应用程序(它们使用浏览器--最适合cookies),但是web API不能被任何浏览器应用程序使用(因此Bearer更适合)。
今天,我已经研究了许多类似的问题,例如:JWT vs cookies for token based authentication(基于令牌的身份验证)。然而,没有人回答我的具体问题-Cookie是否会被用于Web API,承载令牌是否会被用于Web应用程序?
共有1个答案
承载令牌是一种访问令牌。承载令牌的概念由OAuth推广开来:
拥有一个承载令牌(“承载”)的任何一方都可以使用它来访问相关的资源(而不需要证明拥有一个加密密钥)。
翻译:你不必证明你的身份就可以访问一个资源,承载令牌就足以让你进去。
-
我想知道是否可以通过使用更多的超类来提高应用程序的性能。我的问题是关于Kotlin的,但我假设对Java的答案也是一样的。 假设您有这样的继承模式(右边的类是他左边的类的子类): a 也就是说,您不需要所有子类中定义的所有东西,而只需要A类的属性和函数。由于一个模糊的原因,您的代码只使用Z类。 提前感谢您的回答。
-
我正在尝试访问一个我在Azure上托管并用Azure AD保护的API应用程序。 对于API应用程序,我已经设置了App Service Authentication=Azure Active Directory“Express”管理模式。 在“Classic”门户中,我在AD下创建了几个应用程序。一个用于API应用程序,另一个用于Web应用程序。对于Web应用程序,我在API应用程序的“对其他应
-
对于数据库会话令牌系统,我可以使用用户名/密码进行用户登录,服务器可以生成一个令牌(例如,uuid)并将其存储在数据库中,然后将该令牌返回给客户机。从上面发出的每个请求都将包括令牌,服务器将查找令牌是否有效以及它属于哪个用户。 使用JWT,就会话/令牌而言,不需要将任何内容保存到数据库中,这要归功于服务器上保存的密钥和客户端保存并随每个请求发送的签名令牌的组合。 这很好,但是除了保存一个数据库之外
-
我有两个项目:MVC、Web Api 在Web API项目中,我使用的是无记名令牌身份验证。此令牌在24小时后过期。在我的MVC项目中,我想通过MVC控制器(服务器到服务器)调用Web api项目。最好的方法是什么: 获取令牌 24小时后(或任何到期时间)续订令牌 调用安全操作方法 我的想法是使用WebClient,但我不确定是否有更好的方法。 我也不打算使用无记名代币。但需要一种可靠的方式来验证
-
问题内容: 我怀疑对于Web应用程序(JSP,Servlet,Hibernate,MySQL)是否安全,在Web应用程序中“不同的用户”可以一次获得数千次访问。 我担心的原因如下。 想象一下,我有一个针对学校学生的Web应用程序。他们有自己的个人资料,并将维护自己的学生课程,成绩等。现在,肯定有1个以上的用户将始终使用自己的个人资料在线。这意味着,如果用户对其数学标记进行了编辑,则将在用户的个人资
-
我正在开发一个应用程序,它可以与服务器对话,并且有一个登录屏幕。我使用httpconnection与服务器通信(服务器返回Json响应)。我的登录屏幕发送电子邮件和密码,这是由服务器验证的——服务器发送cookie,并期望cookie与每个进一步的请求一起知道用户已登录。 我使用Cookiemanager和cookie处理程序来启用会话,这样用户只需登录一次。 在我的主活动中使用以下2个命令(在创