«jwt» 태그된 질문

새로운 REST API에 JWT 기반 인증을 구현하고 싶습니다. 그러나 토큰에 만료가 설정되었으므로 자동으로 연장 할 수 있습니까? 해당 기간 동안 응용 프로그램을 적극적으로 사용하는 경우 X 분마다 로그인하지 않아도됩니다. 그것은 엄청난 UX 실패 일 것입니다. 그러나 만기를 연장하는 것은 새로운 토큰을 생성 (그리고이 만료 될 때까지 이전은 여전히 ​​유효). 그리고 …

509 node.js  api  security  authentication  jwt 

내가 작업하고있는 새로운 node.js 프로젝트의 경우 쿠키 기반 세션 접근 방식에서 전환하는 것에 대해 생각하고 있습니다. JSON 웹 토큰 (jwt)을 사용하여 토큰 기반 세션 접근 방식 (키-값 저장소 없음) 이 프로젝트는 socket.io를 사용하는 게임입니다. 토큰 기반 세션을 갖는 것은 단일 세션 (web 및 socket.io)에 여러 통신 채널이있는 시나리오에서 유용합니다. jwt …

421 javascript  node.js  session  session-cookies  jwt 

JWT를 사용하는 상태 비 저장 인증 모델을 사용하는 새로운 SPA가 있습니다. 간단한 토큰 헤더 대신 모든 요청에 ​​대해 '베어러 토큰'을 보내도록 요청하는 것과 같은 인증 흐름에 대해 OAuth를 참조하도록 요청 받지만 OAuth는 간단한 JWT 기반 인증보다 훨씬 복잡하다고 생각합니다. JWT 인증이 OAuth처럼 동작하도록해야하는 주요 차이점은 무엇입니까? XSWT를 방지하기 위해 JWT를 …

356 authentication  oauth  jwt 

JWT를 얻었고 페이로드를 디코딩 할 수 있다면 어떻게 안전합니까? 헤더에서 토큰을 가져 와서 페이로드의 사용자 정보를 해독하고 변경 한 다음 동일한 올바른 암호화 비밀로 다시 보낼 수는 없습니까? 나는 그들이 안전해야한다는 것을 알고 있지만 기술을 정말로 이해하고 싶습니다. 내가 무엇을 놓치고 있습니까?

302 security  jwt  express-jwt 

웹 API 응용 프로그램에서 JWT 베어러 토큰 (JSON 웹 토큰)을 지원하려고하는데 길을 잃었습니다. .NET Core 및 OWIN 응용 프로그램에 대한 지원을 참조하십시오. 현재 IIS에서 응용 프로그램을 호스팅하고 있습니다. 애플리케이션에서이 인증 모듈을 어떻게 달성 할 수 있습니까? <authentication>양식 / Windows 인증을 사용하는 방법과 유사한 구성을 사용할 수 있는 방법이 있습니까?

264 c#  security  asp.net-web-api  jwt 

웹 앱에서 인증을 처리하기 위해 Auth0을 사용하고 있습니다. ASP.NET Core v1.0.0 및 Angular 2 rc5를 사용하고 있으며 일반적으로 인증 / 보안에 대해 잘 모릅니다. 에서 ASP.NET 코어 웹 API에 대한 Auth0 워드 프로세서 , RS256 및 HS256을 인 JWT 알고리즘에 대한 두 가지 선택이있다. 이것은 멍청한 질문이지만 다음과 같습니다. RS256과 …

254 jwt  auth0  asp.net-core-webapi 

JWT 토큰에 가장 적합한 AuthorizationHTTP 헤더 유형 이 무엇인지 궁금합니다 . 아마 가장 인기있는 유형 중 하나는 Basic입니다. 예를 들어 : Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ== 로그인 및 비밀번호와 같은 두 가지 매개 변수를 처리합니다. 따라서 JWT 토큰과 관련이 없습니다. 또한 Bearer 유형에 대해 들었습니다 . Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ 그러나 나는 그 …

228 http-headers  jwt 

JavaScript를 사용하여 JWT의 페이로드를 어떻게 디코딩 할 수 있습니까? 도서관없이 따라서 토큰은 내 프론트 엔드 앱에서 사용할 수있는 페이로드 객체를 반환합니다. 토큰 예 : xxxxxxxxx.XXXXXXXX.xxxxxxxx 그리고 결과는 페이로드입니다. {exp: 10012016 name: john doe, scope:['admin']}

209 javascript  jwt 

RESTful API에 대해 JWT를 사용하여 상태 비 저장 인증을 구현하려고합니다. AFAIK, JWT는 기본적으로 REST 호출 중에 HTTP 헤더로 전달되는 암호화 된 문자열입니다. 그러나 요청을보고 토큰을 훔치는 도청자가 있다면 어떨까요? 그러면 내 신분으로 요청을 속일 수 있습니까? 실제로이 문제는 모든 토큰 기반 인증에 적용됩니다 . 그것을 막는 방법? HTTPS와 같은 보안 …

201 authentication  access-token  jwt 

다음 기사를 기반으로 JWT 토큰 기반 보안 구현을 테스트하고 있습니다. 테스트 서버에서 토큰을 성공적으로 받았습니다. Chrome POSTMAN REST Client 프로그램이 헤더에 토큰을 보내는 방법을 알 수 없습니다. 내 질문은 다음과 같습니다. 1) 올바른 헤더 이름 및 / 또는 POSTMAN 인터페이스를 사용하고 있습니까? 2) 토큰을 64 인코딩해야합니까? 토큰을 다시 보낼 수 …

169 express  jwt  postman 

쿠키 기반 인증을 알고 있습니다. MITM 및 XSS로부터 쿠키 기반 인증을 보호하기 위해 SSL 및 HttpOnly 플래그를 적용 할 수 있습니다. 그러나 CSRF로부터 보호하기 위해서는보다 특별한 조치가 필요합니다. 그들은 조금 복잡합니다. ( 참고 ) 최근에는 JSON 웹 토큰 (JWT)이 인증 솔루션으로 매우 뜨겁다는 것을 알게되었습니다. JWT 인코딩, 디코딩 및 확인에 …

159 security  authentication  cookies  csrf  jwt 

현재 reactjs를 사용하여 단일 페이지 응용 프로그램을 작성 중입니다. localStorage를 사용하지 않는 많은 이유는 XSS 취약점 때문이라고 읽었습니다. React가 모든 사용자 입력을 이스케이프하므로 이제 localStorage를 사용하는 것이 안전합니까?

147 reactjs  local-storage  jwt 

스프링 체인은 필터 체인에 빌드하여 필터를 요청합니다.이 필터는 요청을 가로 채고 인증을 감지 (결석)하거나 인증 진입 점으로 리디렉션하거나 요청을 권한 부여 서비스로 전달하여 요청이 서블릿에 도달하거나 보안 예외를 던지도록합니다. (인증되지 않은 또는 승인되지 않은). DelegatingFitlerProxy는 이 필터들을 서로 붙입니다. 작업을 수행하기 위해 이러한 필터 액세스 서비스는 UserDetailsService 및 AuthenticationManager 와 …

136 spring  authentication  spring-security  filter  jwt 

모바일 앱을 만들고 있으며 인증에 JWT를 사용하고 있습니다. 이를 수행하는 가장 좋은 방법은 JWT 액세스 토큰을 새로 고침 토큰과 쌍으로 연결하여 원하는만큼 자주 액세스 토큰을 만료시킬 수있는 것 같습니다. 새로 고침 토큰은 어떻게 생겼습니까? 임의의 문자열입니까? 그 문자열이 암호화되어 있습니까? 다른 JWT입니까? 새로 고침 토큰은 액세스를 위해 사용자 모델의 데이터베이스에 …

129 security  authentication  oauth-2.0  jwt 

인증과 같은 상황에서 세션보다 JWT를 사용하면 어떤 이점이 있습니까? 독립 실행 형 접근 방식으로 사용됩니까 아니면 세션에서 사용됩니까?

122 session  jwt