Articles of 令牌

如何在Node.js应用程序中处理客户端网站上的JWT令牌?

我正在实施JWT令牌进行身份validation。 我没有使用像Angular或React这样的客户端站点框架。 这只是EJS。 第1步。我开发了一个API,在成功login时返回令牌,如下图所示(我使用Postman来testingAPI): API响应与JSON 第2步。然后,我访问受限制的路由并传递带有令牌值的授权标头,通过在邮递员中手动input它,它工作得很好。 我的问题是WHERE和如何保存从客户端上的第1步返回的令牌,以便它在第2步中的标头中发送。 我是Web开发的新手,并遵循教程,但是我发现有关实现JWT令牌的所有教程都是针对Angular或React编写的,当涉及到客户端网站时。 任何帮助将不胜感激。 谢谢!

使用express-jwt时,为什么我的授权标题在显式存在的时候丢失了

我正在使用express-jwt和jsonwebtoken。 当我尝试使用jsonwebtoken.verify(),我得到这个错误: Error: Invalid token: no header in signature 'Bearer eyJ0eXAiOi…reallylongtoken… … more … code: 'MISSING_HEADER' 我可以看到req.headers.authorization标记存在,因为我将其注销。 所以我不明白为什么标题丢失,如果它清楚地存在。 任何帮助赞赏。 这里的要点是: https://gist.github.com/ryanore/914362881d2d9f0878f2 这是req.headers.authorization的console.log输出 Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJfaWQiOiI1NDhhMGFkODcwZWZjZmMwM2EwMDAwMDEiLCJjcmVhdGVkQXQiOiIyMDE0LTEyLTExVDIxOjIxOjI4LjI0M1oiLCJmaXJzdE5hbWUiOiIiLCJsYXN0TmFtZSI6IiIsInVzZXJuYW1lIjoicnlhbm9yZSIsInBhc3N3b3JkIjoiJDJhJDEwJFM0YjcyVzIyQS9ubDJxZXV0WUxsUk9SNWhIblhvTGxkT09ud096OTFVNzBvSDVIQXRGZFhTIiwiZW1haWwiOiIiLCJfX3YiOjB9.fiHZ1J7cLXtgurTvqGVP2RcJqpju1zNmXBETWqYKXko

处理令牌的体系结构(NodeJS)(MongoDB)

我想知道下列选项正确处理令牌的优缺点: 选项A: (在后端)api.login(用户)>>(用Passport成功)>> createOrUpdateToken >> toSaveTokenIn UserDocument >>返回用户>>(在前端)toSavetokenUserInFrontEnd(window.localStorage.setItem) 选项B: (在后端)api.login(用户)>>(用Passport成功)>> createOrUpdateToken >> toSaveTokenIn TokenDocument >>返回User&Token >>(在前端)toSavetokenUserInFrontEnd(window.localStorage.setItem) 什么是正确的select? 为什么?

express-jwt通过路由处理特定的秘密密码

这是我的用例。 在使用express-jwt模块的快速应用程序中,我有两个主要路线。 我想确保我的路线与2个不同的密码。 app.use('/api/v1/admin', jwt({secret: "blabla1"}).unless({path:['/api/v1/admin/login']})); app.use('/api/v1', jwt({secret: "blabla2"}).unless({path: ['/api/v1/login']})); 在这种情况下,它不工作,因为我期待…是否有办法实现这一点,只有一个快速应用程序? 在此先感谢您的帮助家伙!

什么信息在身份validation令牌上签名

我使用jwt与NodeJS作为我的身份validation令牌。 目前,我签署的观众,IP和客户端的有效载荷。 我也把用户的guid放在有效载荷上,以便在随后的请求中,我可以使用guidfind用户; 一个guid的例子是bd262477-8b93-4f2c-9dc9-175edf6e0d14 。 这是不好的还是安全问题? 我想我问的是你应该把什么信息放在有效载荷上? guid好还是坏? 有人可以给我一个链接,解释为什么(或为什么不)有一个安全问题,你包括在令牌?

Sails JS – 删除现有的JWT

我跟着这个教程https://ericswann.wordpress.com/2015/04/24/nozus-js-1-intro-to-sails-with-passport-and-jwt-json-web-token-auth/和我它工作得很好。 唯一遗漏的是注销function。 我读过,我可以从客户端删除令牌,但我认为这也是一个更好的办法也将其从服务器中删除。 这是我的AuthController.js var passport = require('passport'); //Triggers when user authenticates via passport function _onPassportAuth(req, res, error, user, info) { if (error) return res.serverError(error); if (!user) return res.unauthorized(null, info && info.code, info && info.message); return res.ok({ // TODO: replace with new type of cipher service token: HashService.createToken(user), user: user }); } module.exports = { […]

如何使用节点expression式在mongodb中存储Json Web Token

我尝试通过mongodb将jwt(JsonWebToken)实现到节点expression式中。 在生成令牌时,我将令牌值存储到数据库收集中,并从mongodb中检索令牌并将其传递给下一页并设置注销选项。当我触发注销时,数据库中的令牌字段被刷新,在此之后没有更多的行动。 但问题是,当多个用户login应用程序是不可能的。因为当我点击注销它清除所有的令牌。 我怎样才能正确解决这个..?

令牌和安全与条纹api为node.js(条纹节点)

sorting一个新手问题。 我正在研究在Angular 2应用程序中使用Stripe,并计划使用node.js实现一个服务器(沿着服务angular网页的服务器),以从angular度客户端接收令牌,然后调用stripe-node函数(需要一个密钥) 从那里。 我想知道如果我需要对我在那里收到的令牌进行validation。 由于任何人都可以看到该服务器的url,他们可以创build问题吗? 谢谢。

将令牌存储在浏览器中

问题=] 根据我的研究,在本地存储中存储networking令牌似乎是使用cookie来防止CSRF攻击的首选方法(我知道本地存储容易受到XSS攻击,尽pipe这些容易防止比CSRF容易)。 这就是说,我一直无法find任何关于利用本地存储这一手段的相关指南… 我正在寻找一些帮助,了解如何工作… 将服务器签名的令牌传递给浏览器本地存储的首选方法/工作stream程是什么? 一旦浏览器存储了令牌,我该如何使用那个存储的令牌。 我是否需要通过JS停止默认提交表单之类的东西,然后用每个请求的authorization: Bearer <token>头来发送AJAX请求? 当用户点击指向该用户拥有的资源的链接时,如何将该令牌发送给服务器以授予对受保护资源的访问权限? 工具 前端 HTML5(从手柄编译) JS CSS(由SASS编译) 后端 nodeJS(使用Express) 注意:我希望将来可以通过代码示例来编辑这篇文章(一旦我得到了它的大声笑),来帮助像我这样的其他困惑的人

Node.js中具有唯一随机令牌的URL

对于我的项目,我希望用户在到达网站时将其redirect到自己独特的url。 例如,用户转到mydomain.com,他们将被redirect到mydomain.com/xyz123 我有这个工作。 但是我有两个问题: 随机标记应该有多less个字符 ? (有没有计算代币总量的公式?) 如何阻止机器人不停地击中网站并占用这些令牌? 谢谢你的帮助。