問題タブ [http-token-authentication]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票する
1 に答える
1487 参照

javascript - angular jsがユーザーの自動ログインを返す

トークンによる認証システムがあります。ユーザーが電子メールとパスワードでログインすると、トークンが返されて Cookie に保存されます。ユーザーがブラウザーまたはタブを閉じてサイトに戻ると、ユーザーは Cookie 内のトークンで認証されますが、これにはかなりの数ミリ秒かかる可能性があり、ユーザー プロファイルなどの安全なサイトに戻ると、であり、アプリが最初のユーザー データを読み込んでログイン済みとしてマークするのに十分な速度ではない場合、ユーザーはログイン ページにリダイレクトされます。

私の最初のアイデアは、トークンが有効なすべてのリクエストのレスポンスにユーザー データを入れることでしたが、それでは不要なデータ トラフィックが大量に発生します。

より良い解決策はありますか?

0 投票する
1 に答える
828 参照

token - ASP.Net - 安全なトークンの生成

Web サイトの認証ライブラリに取り組んでおり、トークン ベースの認証システムを使用したいのですが、ユーザーを識別できるように安全なセッション トークンを生成する方法がわかりません。誰かが私を正しい方向に向けるリソースを持っていますか?

0 投票する
1 に答える
1377 参照

angularjs - Angular と .net WebAPI トークン認証 - ファイルのアップロード

Angularjs と .net Web API トークン認証を使用して、このファイル アップロードをプロジェクトに実装しようとしています。

ファイルのアップロード: http://blueimp.github.io/jQuery-File-Upload/

トークン承認: http://bitoftech.net/2014/06/09/angularjs-token-authentication-using-asp-net-web-api-2-owin-asp-net-identity/

また、angularjs モジュールには、サーバーに対して行われた各リクエストにトークンを追加するためのインターセプターがあります。

私が抱えている問題は、インターセプターがリクエストをインターセプトせず、ファイルをアップロードしようとしたときにトークンをリクエストに添付していないことです。したがって、サーバーは 401 Authorized をスローしています。これは理にかなっています。

私の質問ですが、ファイル アップロード ポスト コールにトークンをインターセプト/インジェクトするにはどうすればよいですか?

0 投票する
3 に答える
84 参照

javascript - 誰かがトークン認証、Angular を使用してサインインする前に複数の URL を許可する方法

トークン認証を使用していますが、現在、ユーザーがサインインしていない場合、「/login」の URL パスにリダイレクトされます。ユーザーがパス「/createUser」に移動できるようにしたいと考えています。以下のコードは、ユーザーがログインしていない場合にログイン ページに誘導するものです。新しいユーザーの場合、ユーザーが「/createUser」パスに移動できるようにするにはどうすればよいですか?

0 投票する
1 に答える
44 参照

angularjs - AngularJS は最後の API 呼び出しを再作成します

私は、トークン認証とリフレッシュ トークンを使用して AnjularJS プロジェクトに取り組んでいます。

場合によっては、フォームを送信して API 呼び出しを行うと、トークンの有効期限が切れた 401 が返され、トークンが自動的に更新されます。これはうまく機能します。

私が抱えている問題は、トークンを更新した後、フォームを再送信するために API 呼び出しを自動的に行いたいということです。

すべての通話を追跡するサービスを作成する必要がありますか? angularはすべての呼び出しを追跡しますか?

これを行う方法に関するアイデア。

ありがとう

0 投票する
1 に答える
349 参照

glassfish - Glassfish 3 のカスタム ログイン モジュールにトークンを渡す方法

カスタム Web アプリケーション領域を使用してユーザー名とパスワードに基づいて (サーブレット 3.0 request.login() を使用して) ユーザーを認証する Web アプリケーションを Glassfish 3.0 にデプロイしました。「AppservPasswordLoginModule」を拡張して認証を行うカスタムログインモジュールを作成しました。パスワードは暗号化されてdbに保存されます。

現在、ユーザーがサイトにログインするために使用できるトークンベースの URL を生成する必要があるシナリオがあります (ユーザー名やパスワードなし)。トークンは、一定期間有効にすることも、1 回限りのログインのみ有効にすることもできます。

トークンをログインモジュールに渡すにはどうすればよいですか、またはそのようなログインフローを処理してトークンに基づいてユーザーを認証するにはどうすればよいですか?

0 投票する
2 に答える
3611 参照

security - トークンベースの認証でリフレッシュトークンを使用することは安全ですか?

私はトークンベースの認証を構築しています(Angularクライアントでパスポート/JWTを使用するNode.js)。

ユーザーが資格情報を入力すると、アクセス トークンが取得され、ヘッダー内のすべての要求で送信されます (header: bearer TOKEN)。

彼のアクセストークンの有効期限が切れるたびに(ほぼ毎日だと思いますが)ログインリクエストを要求したくありません。 Refresh Tokensについて聞いたことがあります。更新トークンは期限切れになることはなく (またはめったに期限切れにならない)、無期限にトークンを更新できます。アクセス トークンの期限が切れそうになると、クライアントは更新要求を送信して、更新トークンを送信することで新しいアクセス トークンを取得できます。

私はいくつかのことを理解していません。何かが欠けている可能性があります:

  1. 有効期間が長い/無期限のリフレッシュ トークンが、有効期間が短いアクセス トークンのセキュリティを損なわない方法。

  2. Cookie は盗まれ、有効期限が切れるまで使用される可能性があります。トークンは存続期間が短いため、より安全ですが、存続期間が長い更新トークンを提供すると、トークンを使用する利点が失われます。

注: リフレッシュ トークンは最初のログイン時に送信されるため、すべてのリクエストでスプーフィングできないことは認識していますが、最初のリクエストでスプーフィングされている場合は脆弱です。