Tag: json web token

JSON Web令牌(JWT)优于数据库会话令牌

使用数据库会话令牌系统,我可以使用用户名/密码进行用户login,服务器可以生成令牌(例如uuid)并将其存储在数据库中,并将该令牌返回给客户端。 其上的每个请求都会包含该令牌,服务器将查找令牌是否有效以及它属于哪个用户。 使用JWT,不需要将会话/令牌相关的任何内容保存到数据库中,这要归功于服务器上保存的密钥和客户端保存并随每个请求一起发送的签名令牌的组合。 这是好的,但除了保存数据库检查每个请求(这将是快速的,因为它只是检查一个哈希表),我不清楚使用JWT的优点是什么。 你能熟悉这个解释吗? 让我们忽略cookie,它是特别的一个数据库自定义令牌如上所述和JWT,我试图比较和理解的好处 。

JWT(Json Web Token)受众“aud”与Client_Id – 有什么区别?

我正在我的身份validation服务器上实现OAuth 2.0 JWT access_token。 但是,我并不清楚JWT“aud”声明和client_id http头值之间的区别。 他们是一样的吗? 如果不是,你能解释两者的区别吗? 我怀疑是“aud”是指资源服务器,而client_id是指authentication服务器认可的客户端应用程序之一(即web应用程序或IOS应用程序)。 在我目前的情况下,我的资源服务器也是我的Web应用程序客户端。

如果你能解码智威汤逊他们如何安全?

我喜欢智威汤逊,和他合作非常有趣。 我的问题是,如果我得到一个智威汤逊,我可以解码有效载荷,这是如何安全? 难道我不能将标记从标题中取出,解码并更改有效载荷中的用户信息,并使用相同的正确密码进行发送? 我知道他们一定是,我真的很想了解这些技术。 我错过了什么? 谢谢!

使客户端JWT会话无效

我已经阅读了很多关于智威汤逊以及如何通过智威汤逊创build“无状态”会话的内容。 我所理解的要点是,由于签名和到期,你可以基本上发送整个会话由客户端保存,服务器不必维护一个数据库来记住会话。 我不明白的是如果你的用户需要注销会发生什么,或者你需要在到期之前使会话无效? 从技术上讲,你可以指示浏览器从客户端删除它,但是你不能确定这是否真的发生。 令牌本身在技术上仍然有效,如果您的删除说明没有遵循,它仍然可以使用。 这种理解是否正确? 如果是这样,这是不是客户端会话pipe理的一个巨大的错误? 除了让服务器存储会话或缩短到期时间之外,还有什么方法可以克服这一点吗?