問題タブ [http-token-authentication]

トークンによる認証システムがあります。ユーザーが電子メールとパスワードでログインすると、トークンが返されて Cookie に保存されます。ユーザーがブラウザーまたはタブを閉じてサイトに戻ると、ユーザーは Cookie 内のトークンで認証されますが、これにはかなりの数ミリ秒かかる可能性があり、ユーザー プロファイルなどの安全なサイトに戻ると、であり、アプリが最初のユーザー データを読み込んでログイン済みとしてマークするのに十分な速度ではない場合、ユーザーはログイン ページにリダイレクトされます。

私の最初のアイデアは、トークンが有効なすべてのリクエストのレスポンスにユーザー データを入れることでしたが、それでは不要なデータ トラフィックが大量に発生します。

より良い解決策はありますか？

Web サイトの認証ライブラリに取り組んでおり、トークン ベースの認証システムを使用したいのですが、ユーザーを識別できるように安全なセッション トークンを生成する方法がわかりません。誰かが私を正しい方向に向けるリソースを持っていますか?

Angularjs と .net Web API トークン認証を使用して、このファイル アップロードをプロジェクトに実装しようとしています。

ファイルのアップロード: http://blueimp.github.io/jQuery-File-Upload/

トークン承認: http://bitoftech.net/2014/06/09/angularjs-token-authentication-using-asp-net-web-api-2-owin-asp-net-identity/

また、angularjs モジュールには、サーバーに対して行われた各リクエストにトークンを追加するためのインターセプターがあります。

私が抱えている問題は、インターセプターがリクエストをインターセプトせず、ファイルをアップロードしようとしたときにトークンをリクエストに添付していないことです。したがって、サーバーは 401 Authorized をスローしています。これは理にかなっています。

私の質問ですが、ファイル アップロード ポスト コールにトークンをインターセプト/インジェクトするにはどうすればよいですか?

トークン認証を使用していますが、現在、ユーザーがサインインしていない場合、「/login」の URL パスにリダイレクトされます。ユーザーがパス「/createUser」に移動できるようにしたいと考えています。以下のコードは、ユーザーがログインしていない場合にログイン ページに誘導するものです。新しいユーザーの場合、ユーザーが「/createUser」パスに移動できるようにするにはどうすればよいですか?

私は、トークン認証とリフレッシュ トークンを使用して AnjularJS プロジェクトに取り組んでいます。

場合によっては、フォームを送信して API 呼び出しを行うと、トークンの有効期限が切れた 401 が返され、トークンが自動的に更新されます。これはうまく機能します。

私が抱えている問題は、トークンを更新した後、フォームを再送信するために API 呼び出しを自動的に行いたいということです。

すべての通話を追跡するサービスを作成する必要がありますか? angularはすべての呼び出しを追跡しますか?

これを行う方法に関するアイデア。

ありがとう

カスタム Web アプリケーション領域を使用してユーザー名とパスワードに基づいて (サーブレット 3.0 request.login() を使用して) ユーザーを認証する Web アプリケーションを Glassfish 3.0 にデプロイしました。「AppservPasswordLoginModule」を拡張して認証を行うカスタムログインモジュールを作成しました。パスワードは暗号化されてdbに保存されます。

現在、ユーザーがサイトにログインするために使用できるトークンベースの URL を生成する必要があるシナリオがあります (ユーザー名やパスワードなし)。トークンは、一定期間有効にすることも、1 回限りのログインのみ有効にすることもできます。

トークンをログインモジュールに渡すにはどうすればよいですか、またはそのようなログインフローを処理してトークンに基づいてユーザーを認証するにはどうすればよいですか?

私はトークンベースの認証を構築しています(Angularクライアントでパスポート/JWTを使用するNode.js)。

ユーザーが資格情報を入力すると、アクセス トークンが取得され、ヘッダー内のすべての要求で送信されます (header: bearer TOKEN)。

彼のアクセストークンの有効期限が切れるたびに（ほぼ毎日だと思いますが）ログインリクエストを要求したくありません。 Refresh Tokensについて聞いたことがあります。更新トークンは期限切れになることはなく (またはめったに期限切れにならない)、無期限にトークンを更新できます。アクセス トークンの期限が切れそうになると、クライアントは更新要求を送信して、更新トークンを送信することで新しいアクセス トークンを取得できます。

私はいくつかのことを理解していません。何かが欠けている可能性があります:

1. 有効期間が長い/無期限のリフレッシュ トークンが、有効期間が短いアクセス トークンのセキュリティを損なわない方法。

2. Cookie は盗まれ、有効期限が切れるまで使用される可能性があります。トークンは存続期間が短いため、より安全ですが、存続期間が長い更新トークンを提供すると、トークンを使用する利点が失われます。

注: リフレッシュ トークンは最初のログイン時に送信されるため、すべてのリクエストでスプーフィングできないことは認識していますが、最初のリクエストでスプーフィングされている場合は脆弱です。