标签: jwt

我仍然无法理解JWT. 至于我，唯一的目的是：

• 克服 CSRF
• 并确保更好的移动支持（因为在某些情况下移动应用程序不支持 cookie）。

还有一种说法是，JWT您不必担心服务器端的会话存储。这对我来说不清楚。如何JWT完全取代服务器端的会话存储？这是否意味着我们将所有会话数据放入JWT，加密并在每次响应时将其发送给客户端？但是如果是这样，这是否意味着服务器发出的令牌会根据我们用来存储在会话中的数据而改变？据我所知，阻止我们以这种方式使用 cookie（服务器端没有会话存储）的唯一原因是 cookie 文件的大小限制 - 仅限4kb.

另外我们还需要使用SSL来防止会话劫持吗？请告诉我我的理解是否正确，或者还有其他方面。

我正在构建一个 laravel 5/angular 应用程序，我正在使用JWTAuth来管理我的令牌。有谁知道如何删除或删除令牌？我想用它进行测试，但也用于注销。

我试图在将 JWT 令牌发送到客户端之前在数据库中插入特定 user_id(column) 的 JWT 令牌。

public void saveTokenToDB(String email, String token) {
        try {
            String query = "Update TBL_USER set USR_TOKEN ="+token+" where email="+email+" ";
            Connection con = DBConnection.getConnection();
            PreparedStatement statement = con.prepareStatement(query);
            int result = statement.executeUpdate();
            System.out.println("result is: " + result);

        } catch (Exception ex) {
            System.out.println("Error in TokenSaverDAO class");
            ex.printStackTrace();
        }
    }

但我收到一个错误：

java.sql.SQLSyntaxErrorException: ORA-00972: identifier is too long

我尝试使用 CLOB 作为列类型，但仍然出现相同的错误。

这是我的令牌：

eyJhbGciOiJSUzI1NiJ9.eyJpc3MiOiJodHRwczpcL1wvcnRoLmNvbSIsInN1YiI6IlJUSCIsImV4cCI6MTQ1MzE1NDI2MywiZW1haWwiOiJraXJpdGkuazk5OUBnbWFpbC5jb20ifQ
.X13gGlAIbS3bh-2eX-SdZjglA-QSMW5Gz_IokRdGWXqmmdQDYHNgbKpuqhtf7EqSLN_I8Qx80FMKzVXn9G4O1-bhXCDkWWHkPaC
WN16RJazyJdWqzHHTVHD2AN-mF6eG7KFto5HlvFfIdvgQZszAzqS_cVGQHM1hIn-r5sCrkI4

有没有其他方法可以将令牌保存在数据库中，或者可能会为每个登录的用户将其保存在地图中。如果我使用地图，那么每次用户请求资源时如何进行身份验证。

现在我正在这样做：

@Secured
@Provider
@Priority(Priorities.AUTHENTICATION)
public class AuthenticationFilter implements ContainerRequestFilter …

我已经用 laravel 5.2 构建了 rest api，将它与 angularJS 集成并用 jwt 保护它。

这是我第一次使用 jwt，而不是 angularjs，在我过去的项目中（使用 spring mvc/security、angularJS 和 session 代替 jwt），我可以通过使用 spring 安全拦截 url 来保护资源，如下所示：

<sec:intercept-url pattern="*/app/**" access="isAuthenticated()" />

有没有办法用 laravel 做到这一点？，我已经做了 javascript 验证，所以如果 jwt 令牌无效，用户不能访问任何路由，只能登录，问题是 javascript 源是可用的，无论用户是登录与否。

在登录，提交和重定向期间管理JWT令牌令我有些沮丧。在开始之前，这里是我的技术栈，以防万一：

JQuery/Html -> Node.Js -> Java Restful Services -> MySQL.  

我的Java Restful服务管理着创建JWT令牌的过程，将其返回到Node.js层，该层决定如何处理它并将其传递给客户端。这一切都很棒。

为了获得JWT令牌，我向Node中间层提出了一个基于Ajax的身份验证请求，该请求对中间层进行身份验证并返回该令牌，该令牌被汇总到客户端的本地存储中。

现在，我不再希望通过ajax将整个站点加载到单个页面上，这是一个复杂的站点，这样做简直是愚蠢的！我需要在携带JWT令牌的同时转发并导航到子页面。

（最终）这是问题。。。如何将JWT令牌发送到中间层（node.js），而又不将其附加为请求或发布参数，因为那是很大的不？我似乎找不到一种将其填充到Bearer相关联的标头中的方法。

我正在尝试设置一个shell脚本来从Box帐户中获取文件.为此,需要一个身份验证令牌.必须通过脚本自动生成身份验证令牌,因此无需手动执行步骤.这可以通过构建和提交JWT索赔来完成.

Box的文档规定它们只接受"RS256","RS384"和"RS512".我已经能够设置我需要的一切,除了使用Box的文档和本网站创建断言:

http://willhaley.com/blog/generate-jwt-with-bash/

我花了几个小时搜索网站,看看我是否能找到关于如何使用bash/shell脚本生成断言的任何指示都无济于事.我链接的网站是我发现的最接近的网站,但它使用的是HS256,Box不支持.

我的脚本目前几乎与我之前链接的网站上的第一个脚本相同(我有一个单独的脚本,我用来测试实际上用手动生成的身份验证令牌抓取文件).请帮助生成断言所需的命令.

我们正在尝试为基于Spring REST的应用程序遵循此代码库。 弹簧靴jwts

问题是我们无法从服务器注销期间删除JWT令牌。当我们在网上检查时，我们才知道唯一的解决方法是将此JWT令牌列入黑名单。是这样吗？

我们是基于令牌的身份验证的新手，请告诉我们是否存在诸如在注销调用中使令牌过期之类的解决方案。

问题: 我想从authenticate.getName()中获取/提取用户名/电子邮件...如果可能,不要使用解析字符串.

authentication.getName()或principal.getName()值:

[username]: org.springframework.security.core.userdetails.User@21463e7a: Username: butitoy@iyotbihagay.com; Password: [PROTECTED]; Enabled: true; AccountNonExpired: true; credentialsNonExpired: true; AccountNonLocked: true; Not granted any authorities

在这个例子中,我只想获得Username的值,即butitoy@iyotbihagay.com

解:

由于我只想获得用户名/电子邮件(butitoy@iyotbihagay.com),并且它返回了整个主要内容/文本(上图),我将主题中设置的值从主要值...替换为电子邮件价值..它现在有效.

@Override
protected void successfulAuthentication(HttpServletRequest req,
                                        HttpServletResponse res,
                                        FilterChain chain,
                                        Authentication auth) throws IOException, ServletException {
    String email = auth.getName();
    String principal = auth.getPrincipal().toString();
    Date expiration = new Date(System.currentTimeMillis() + SecurityConstants.EXPIRATION_TIME);
    String token = Jwts.builder()
            .setSubject(email) //from principal to email
            .setExpiration(expiration)
            .signWith(SignatureAlgorithm.HS512, SecurityConstants.SECRET.getBytes())
            .compact();
    AuthenticatedUser loginUser = new AuthenticatedUser(email);
    loginUser.setToken(token);
    String jsonUser = Util.objectToJsonResponseAsString(loginUser, "user");
    res.addHeader(SecurityConstants.HEADER_STRING, SecurityConstants.TOKEN_PREFIX …

我想用Gradle,Spring Boot2,Zuul,JWT,带有REST-Api的微服务和自制认证服务器来设置SSO微服务环境.当身份验证服务器,网关和微服务充当OAuth客户端和资源服务器时,它们的注释是什么？什么是最小化设置？

在.net core 2.2中，当我对应用程序进行容器化时，出现Bearer错误=“ invalid_token”，error_description =“签名无效”

当我使用IIS / IIS Express在Windows上托管它时，它运行良好。

我的代码-令牌生成器是IBM API Connect，它使用RSA 256算法生成密钥

 var rsa = new RSACryptoServiceProvider();
 string exponentvalue = "AQAB";
 var e = Base64UrlEncoder.DecodeBytes(exponentvalue);
 var N = "public key  put your value here"
 var modulus = Base64UrlEncoder.DecodeBytes(N);
 rsa.ImportParameters(
     new RSAParameters()
     {
             Modulus = modulus,
             Exponent = e
    });
  var signingKey = new RsaSecurityKey(rsa);

var tokenValidationParameters = new TokenValidationParameters
          {
              // The signing key must match!
              ValidateIssuerSigningKey = true,
              IssuerSigningKey = signingKey,

              // Validate the JWT Issuer (iss) claim …