个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
27
4
这不是一个编码问题,而是一个关于正确处理和处理刷新 token 的概念问题。
我有一个单页应用程序,它在登录时发出 jwt token 。 token 工作得很好。现在,我想将过期设置为一个较低的值,并使用刷新 token 来刷新不记名 token 。
问题是,刷新 token 中应该存储哪些声明?在发布新 token 之前应该执行哪些步骤来验证刷新 token ?
例如,现在我的刷新 token 是一个存储过期时间的 jwt,因此客户端知道刷新 token 何时过期,以及用户名声明,以便我知道刷新 token 与哪个用户相关联。
那么当收到刷新 token 时:
最佳答案
如果您的应用程序是单页应用程序,则不应使用长期存在的刷新 token ,因为您无法安全地存储它们。
OAuth2为不同类型的客户端(which I've described here)定义了许多授权流。刷新 token 仅适用于 secret 客户端(例如安全服务器上的 Web 应用程序)。
您的刷新 token 与访问 token 一样容易被盗,因为两者都是存储在客户端上的不记名 token 。
一些 OAuth 库允许 SPA 或其他非 secret 客户端通过使用 cookie 中的 session token 与授权服务器的 token 端点对话来获取新的访问 token 。只要 cookie 有效,用户就可以获得新的访问 token 。之后,用户将需要重新进行身份验证。当然 cookie 可以标记为安全和仅 http,这使得它们更难被窃取。
如果您从使用访问 token 的同一服务端点发出 JWT token ,您可以让客户端在您散列的 token 请求中包含一个随机数,并将其作为声明包含在 token 中。客户端可以在 Authorization header 中发送 JWT,在自定义 header 中发送 nonce。您的 token 验证将再次散列随机数并将其与 JWT 中的声明进行比较。这样,如果你的代币被盗,没有随机数值(value)就很难使用。当然,在有针对性的攻击中,您的 nonce 也可能被盗。
关于security - 验证刷新 token 和发布新的不记名 token 的工作流程是什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/50547403/
27
4
0
我们知道,当使用 hibernate 对数据库进行批量更新时(即使在 HQL 中),所做的更改不会复制到存储在当前 session 中的实体。 所以我可以调用 session.refresh 来加载对
我正在做一个项目,所有的东西都保存在事件中,所以服务器需要一些时间来响应新数据。我正在使用 Fluent 等待使用 ajax 的页面,但是这个不使用任何 ajax。所以我想刷新页面检查是否有新项目,如
我有一个从 Vector 创建的 JTable。 如何刷新 JTable 以显示添加到 Vector 的新数据? 最佳答案 当 TableModel 发生更改时,您的 JTable 应该会自动更新。我
有没有办法使用下面的代码来刷新已经存在的 div id,而不是刷新时间? window.onload = startInterval; function startInterval() {
我更新了在 Shiny Server 上运行的 Shiny 应用程序使用的 DataSet.RData。但是, Shiny 的应用程序仍在旧数据上运行。我已通过浏览器历史记录清除并重新启动浏览器几次,
我的应用程序中有一个无限滚动的网格面板(ExtJs 4.2.1),类似于 this example .用户可以单击刷新按钮,然后必须使用数据库中的数据更新网格的行。我在刷新按钮处理程序中调用 stor
我不知道这三种方法中哪一种最适合我。他们都为我工作。有谁知道刷新、更新和重画之间的区别吗? 最佳答案 根据在线文档: Refresh - 重新绘制屏幕上的控件。 Call Refresh method
有什么办法吗 ICollectionView.Refresh() 或者 CollectionViewSource.GetDefaultView(args.NewValue).Refresh(); 在
这个问题已经有答案了: Updating address bar with new URL without hash or reloading the page [duplicate] (4 个回答)
我有一个 javascript 设置超时以在 10 秒后关闭 div,并且我想在 div 关闭时添加页面刷新。我正在使用的代码如下。 var container_close_sec = "1
我有一组具有以下名称的页面.... update1.php update2.php update3.php update4.php update5.php update6.php update7.ph
如果是则触发js函数。我可以使一个复选框保持选中状态,并在页面刷新时检查值并选中“checked”,并提交以下内容... checked="checked" /> 你都不记得触发js函数。 这是我的
我正在尝试刷新 php 脚本以在数据库更新时显示更新的内容。我首先构建了我的 php,然后刷新代码,然后合并它们。但是,脚本不会更新。有谁知道为什么吗? $(document).ready
当我要删除的节点扩展集合类型时,Grails中有一个错误阻止我使用removeFrom *。直接从关联中删除节点不会更新二级缓存。 A hasMany B 有什么方法可以使关联缓存手动无效或强制重新加
我正在使用 hibernate 和 mysql 来抽象一个数据库,以便在 java 驱动的网站中使用。我使用 hibernate 很好地解决了所有查询,但似乎无法弄清楚如何使用它进行更新、插入和删除,
如何通过调用 oncreateview 方法重新创建 fragment ?我有一个 fragment ,用于通过表单插入新数据,单击按钮后,我想通过删除在 EditText 中输入的数据来重新创建 f
当我从一个到另一个时,我试图刷新我的观点。我知道我应该将刷新代码放在 viewWillAppear 中,但我不知道该放什么代码。 你们能帮帮我吗? 谢谢! 最佳答案 在您看来,请调用 setNeeds
我正在开发 iPhone 应用程序并希望使用: CFStreamCreatePairWithSocketToHost(NULL, url, port, &serverReadStream, &serv
看到我已经创建了一个用于登录用户的脚本。而且我还添加了设置选项卡,以便用户可以编辑他们的设置!但是当我尝试它时,mysql 表中的数据发生了变化,但配置文件中显示的用户名和用户电子邮件保持不变!当我注
好的。这就是它的样子。 当我启动应用程序时,我从服务器收到的第一件事是数据: {name: "test", type: "checkbox" checked: true, } 这使得其中一个复选框
我是一名优秀的程序员,十分优秀!