問題タブ [http-token-authentication]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
javascript - angular jsがユーザーの自動ログインを返す
トークンによる認証システムがあります。ユーザーが電子メールとパスワードでログインすると、トークンが返されて Cookie に保存されます。ユーザーがブラウザーまたはタブを閉じてサイトに戻ると、ユーザーは Cookie 内のトークンで認証されますが、これにはかなりの数ミリ秒かかる可能性があり、ユーザー プロファイルなどの安全なサイトに戻ると、であり、アプリが最初のユーザー データを読み込んでログイン済みとしてマークするのに十分な速度ではない場合、ユーザーはログイン ページにリダイレクトされます。
私の最初のアイデアは、トークンが有効なすべてのリクエストのレスポンスにユーザー データを入れることでしたが、それでは不要なデータ トラフィックが大量に発生します。
より良い解決策はありますか?
token - ASP.Net - 安全なトークンの生成
Web サイトの認証ライブラリに取り組んでおり、トークン ベースの認証システムを使用したいのですが、ユーザーを識別できるように安全なセッション トークンを生成する方法がわかりません。誰かが私を正しい方向に向けるリソースを持っていますか?
angularjs - Angular と .net WebAPI トークン認証 - ファイルのアップロード
Angularjs と .net Web API トークン認証を使用して、このファイル アップロードをプロジェクトに実装しようとしています。
ファイルのアップロード: http://blueimp.github.io/jQuery-File-Upload/
また、angularjs モジュールには、サーバーに対して行われた各リクエストにトークンを追加するためのインターセプターがあります。
私が抱えている問題は、インターセプターがリクエストをインターセプトせず、ファイルをアップロードしようとしたときにトークンをリクエストに添付していないことです。したがって、サーバーは 401 Authorized をスローしています。これは理にかなっています。
私の質問ですが、ファイル アップロード ポスト コールにトークンをインターセプト/インジェクトするにはどうすればよいですか?
javascript - 誰かがトークン認証、Angular を使用してサインインする前に複数の URL を許可する方法
トークン認証を使用していますが、現在、ユーザーがサインインしていない場合、「/login」の URL パスにリダイレクトされます。ユーザーがパス「/createUser」に移動できるようにしたいと考えています。以下のコードは、ユーザーがログインしていない場合にログイン ページに誘導するものです。新しいユーザーの場合、ユーザーが「/createUser」パスに移動できるようにするにはどうすればよいですか?
angularjs - AngularJS は最後の API 呼び出しを再作成します
私は、トークン認証とリフレッシュ トークンを使用して AnjularJS プロジェクトに取り組んでいます。
場合によっては、フォームを送信して API 呼び出しを行うと、トークンの有効期限が切れた 401 が返され、トークンが自動的に更新されます。これはうまく機能します。
私が抱えている問題は、トークンを更新した後、フォームを再送信するために API 呼び出しを自動的に行いたいということです。
すべての通話を追跡するサービスを作成する必要がありますか? angularはすべての呼び出しを追跡しますか?
これを行う方法に関するアイデア。
ありがとう
glassfish - Glassfish 3 のカスタム ログイン モジュールにトークンを渡す方法
カスタム Web アプリケーション領域を使用してユーザー名とパスワードに基づいて (サーブレット 3.0 request.login() を使用して) ユーザーを認証する Web アプリケーションを Glassfish 3.0 にデプロイしました。「AppservPasswordLoginModule」を拡張して認証を行うカスタムログインモジュールを作成しました。パスワードは暗号化されてdbに保存されます。
現在、ユーザーがサイトにログインするために使用できるトークンベースの URL を生成する必要があるシナリオがあります (ユーザー名やパスワードなし)。トークンは、一定期間有効にすることも、1 回限りのログインのみ有効にすることもできます。
トークンをログインモジュールに渡すにはどうすればよいですか、またはそのようなログインフローを処理してトークンに基づいてユーザーを認証するにはどうすればよいですか?
security - トークンベースの認証でリフレッシュトークンを使用することは安全ですか?
私はトークンベースの認証を構築しています(Angularクライアントでパスポート/JWTを使用するNode.js)。
ユーザーが資格情報を入力すると、アクセス トークンが取得され、ヘッダー内のすべての要求で送信されます (header: bearer TOKEN)。
彼のアクセストークンの有効期限が切れるたびに(ほぼ毎日だと思いますが)ログインリクエストを要求したくありません。 Refresh Tokensについて聞いたことがあります。更新トークンは期限切れになることはなく (またはめったに期限切れにならない)、無期限にトークンを更新できます。アクセス トークンの期限が切れそうになると、クライアントは更新要求を送信して、更新トークンを送信することで新しいアクセス トークンを取得できます。
私はいくつかのことを理解していません。何かが欠けている可能性があります:
有効期間が長い/無期限のリフレッシュ トークンが、有効期間が短いアクセス トークンのセキュリティを損なわない方法。
Cookie は盗まれ、有効期限が切れるまで使用される可能性があります。トークンは存続期間が短いため、より安全ですが、存続期間が長い更新トークンを提供すると、トークンを使用する利点が失われます。
注: リフレッシュ トークンは最初のログイン時に送信されるため、すべてのリクエストでスプーフィングできないことは認識していますが、最初のリクエストでスプーフィングされている場合は脆弱です。