من در حال ساختن برنامه ای هستم که کاربران باید دسترسی به برخی از خدمات api را محدود کنند. من از gRPC به عنوان API استفاده می کنم. در حال حاضر من از شماره موبایل کاربر می پرسم ، برای او یک پیامک با کد ارسال کنید که وی باید آن را تأیید کند. اگر…
rsa – آیا می توان فرض کرد که JWT در صورت رمزگشایی با کلید خصوصی سرور ، معتبر است؟
این اولین بار است که از JWT استفاده می کنم. من از كتابخانه jwcrypto به عنوان كاربرد استفاده می كنم ، و كلیدی كه من استفاده می كنم ، کلید RSA است كه من با OpenSSL تولید كردم. تمایل اولیه من ذخیره JWT در دیتابیس با ردیف كاربر بود ، و سپس اعتبار آن را…
برنامه وب – JWT در GraphQL GET درخواست از طریق AJAX
من یک برنامه SPA دارم که اطلاعات مربوط به کاربرانی را که از طریق API وارد سیستم شده اند با استفاده از یک درخواست AJAX دریافت و به روز می کند. با این حال ، درخواست ها با استفاده از JWT که از طریق درخواست URL منتقل می شود مجاز می باشند. به عنوان مثال:…
خطرات امنیتی امضا متقارن jwt (از طرف مشتری)
در حال حاضر من در حال اجرای یک برنامه IOS هستم ، که با سیستم میزبانی وب .net با پس زمینه میزبان ابر همراه است ، که انتهای ورود api کاربر / گذر را می گیرد – – با پاسخ فقط با امضای HS256 jwt توافق می کند. تمام تماسهای بیشتر به قسمت انتهایی نیاز…
احراز هویت – آیا تخفیف های تجاری برای قرار دادن یک نشانه auth در یک کوکی فقط http برای یک SPA ارزش آن را دارد؟
من برای یادگیری / سرگرمی یک برنامه وب (ریل api + واکنش SPA) ایجاد کرده ام و در حال تحقیق در مورد احراز هویت بوده ام. متداول ترین توصیه شده برای تأیید اعتبار SPA هایی که خوانده ام ، قرار دادن نشانه auth (مانند JWT) در یک کوکی امن HTTP است فقط برای محافظت از…