标签: json-web-token

使用数据库会话令牌系统,我可以使用用户名/密码进行用户登录,服务器可以生成令牌(例如uuid)并将其存储在数据库中并将该令牌返回给客户端.来自其上的每个请求都将包括令牌,并且服务器将查询令牌是否有效以及它属于哪个用户.

使用JWT,由于保留在服务器上的密钥和客户端保留并随每个请求发送的签名令牌的组合,因此无需为会话/令牌保存任何数据库.

这很好,但除了保存数据库检查每个请求(因为它只是检查哈希表,这将是快速的),我不清楚使用JWT的优点是什么.你能熟悉这个解释吗？让我们忽略cookie,它特别是如上所述的数据库自定义令牌和JWT,我试图比较和理解它的好处.

首先,生成密钥的好方法是什么？我应该在键盘上输入很多随机键来生成一个,但必须有一个更好的解决方案.解释生成一个非常好的密钥的方法.

第二,存储密钥的好方法是什么？我可以在我的应用程序配置中编写密钥,但这意味着对源代码的破坏将危及整个系统.在Node.js Express应用程序中存储密钥的好方法是什么？

nbf:定义JWT不得接受处理的时间

我nbf在json web令牌中找到了这个定义.但还是想知道它的用途nbf是什么？为什么我们用这个？它与安全期限有关吗？

任何想法将不胜感激.

我在NodeJs API应用程序中使用jsonwebtoken来验证我的API应用程序中的用户.我设置的流程如下:

1)用户通过注册API注册,并使用以下内容生成访问令牌:

var jwt = require('jsonwebtoken');
var token = jwt.sign(user, _conf.authentication.superSecret, {
    expiresIn: 1440 // I intend to keep it short.
});

2)例如,令牌在24小时后到期.此令牌将返回到客户端移动应用程序,以在所有后续API请求中用作标头.

我想知道如何使用jwt的刷新令牌.目前我没有刷新令牌的机制.因此,如果令牌在24小时后到期,我希望客户端(移动应用程序)能够请求新的访问令牌.提前致谢.

我正在尝试创建一个令牌验证方法,如果JWT令牌基于签名有效,则返回true.我不认为我真的需要验证令牌中的所有内容,但在调用ValidateToken()之后实际上表示令牌是否有效？一个原则的存在？out引用的标记包含某些值？不确定何时从此方法返回true.

public bool ValidateToken(string tokenString)
{
    var validationParameters = new TokenValidationParameters()
    {
        ValidIssuer = "My Company",
        ValidAudience = ApplicationId,
        IssuerSigningKey = JsonWebTokenSecretKey
    };

    SecurityToken token = new JwtSecurityToken();
    var tokenHandler = new JwtSecurityTokenHandler();
    var principal = tokenHandler.ValidateToken(tokenString, validationParameters, out token);

    return principal != null;
}

按照本Auth0文章中的说明,我使用"JWT"作为用户名并使用JWT令牌作为密码成功验证了MQTT客户端.

然而,在我的用例中,JWT令牌是短暂的.客户端必须在当前令牌的到期日期之前获取新令牌,然后将其提供给MQTT服务器.否则,服务器终止连接.

我的问题是:如何实现令牌更新？它是来自客户的发布消息吗？哪个主题？我是否断开客户端连接,并让客户端使用新令牌重新进行身份验证？或者还有另一种方式吗？

我们正在为iOS构建一个React Native应用程序,我们正在使用基于node + express + jsonwebtoken构建的内部API.

当用户使用用户名/密码登录时,服务器会验证这些凭据并向客户端发回JSON Web令牌,然后必须将这些令牌与每个API请求一起发送.因此,React本机应用程序必须存储此令牌.

如何在React本机应用程序中安全地存储此客户端令牌？除了将令牌存储在变量中之外,是否还需要采取任何其他步骤？

使用:passport-google-oauth2.

我想在谷歌登录时使用JWT - 因为我需要禁用会话并以某种方式将用户模型传递回客户端.所有示例都使用谷歌回调,神奇地重定向到'/'.

我如何:
1.使用passport-google-oauth2时禁用会话.
2.在google身份验证后res.send()用户到客户端.

如果我没有朝着正确的方向前进,请随意提出替代方案.

是否可以在JWT中存储用户凭据(用户名/密码)(所以sign它和verify以后产生的令牌)？

我听说了

不,在JWT中发送密码是不安全的.这是因为JWT声明只是简单编码,并且可以被看到它们的任何人轻松解码.将任何敏感信息存储在返回给用户的JWT中是不安全的

但我不知道为什么JWT网站建议将其用于身份验证:

什么时候应该使用JSON Web令牌？

以下是JSON Web令牌有用的一些场景:

身份验证:这是使用JWT的最常见方案.一旦用户登录,每个后续请求将包括JWT,允许用户访问该令牌允许的路由,服务和资源.Single Sign On是一种现在广泛使用JWT的功能,因为它的开销很小,并且能够在不同的域中轻松使用

我有一个带角度前端的nodejs api.API成功地使用JWT和护照来保护它的端点.

我现在意识到,在令牌过期后,我的前端仍然允许用户请求我的api端点,而不会提示他们重新输入他们的登录详细信息以获得新的令牌.

这是我的后端生成令牌的方式:

function generateToken(user) {
  return jwt.sign(user, secret, {
    expiresIn: 10080 // in seconds
  });
}

因此,要实现此逻辑,我认为我需要验证JWT令牌客户端.Q1,这是一种明智的做法.

Q2,JWT我使用的库似乎需要一个公钥来使用它的verify()功能.我似乎没有公钥,只有一个秘密,我刚刚组成,所以它不是用一对产生的.我的公钥来自哪里,或者有没有其他方法来验证我的令牌？

这一切似乎都应该是显而易见的,我已经错过了一些东西,如果这是一个愚蠢的问题,请道歉,但我似乎无法找到答案？