問題タブ [json-web-token]

ペイロードにユーザー コードを含む JWT (JSON Web トークン) があります。JWT が検証されたら、ペイロードを解析してユーザー コードを特定します。ユーザーコードは複数の異なるクラスで利用できる必要があり、ユーザーコードを抽出するために特定の HTTP ヘッダーを抽出して JWT を複数回 (認証時に 1 回、その後コードで必要な回数) 解析することを避けたいと考えています。JWT 検証を実行するために IsAuthorized メソッドをオーバーライドしました。

ASP.Net Web API が JWT を検証します。クラスの静的変数を保持する静的な Global.cs を持つことは可能ですか? 複数のユーザーが Web サイトにアクセスしている場合、どのような影響がありますか? Web API に接続しているユーザーごとに Global.cs のインスタンスが存在しますか?

まず、秘密鍵を生成する良い方法は何ですか? キーボードでランダムなキーをたくさん打ち込んでキーを生成する必要がありますが、これにはもっと良い解決策があるはずです。非常に優れた鍵を生成する方法を説明してください。

第二に、鍵を保管する良い方法は何ですか? アプリケーションの構成にキーを書き込むこともできますが、それはソース コードが侵害されると、システム全体が侵害されることを意味します。Node.js Express アプリに秘密鍵を保存する良い方法は何ですか?

JSON Web Tokens について読んでいて、いくつかの疑問が頭に浮かびました。セッションベースのアプローチから JWT に移行する方法について、多くの主張を読みました。私は、UI とモバイル用の API を公開する Node JS バックエンドの観点から、より多くのことを考えています。

主張: JWT では、http 要求ごとにキー値データ ストアと通信する必要はありません。

質問 1 : すべてのユーザーに対して単一の秘密鍵を持つことはできません (秘密鍵が 1 つしかない場合のセキュリティ リスクは何ですか?)。とにかくDBが必要です。

クレーム: JWT はすべてのリクエストでトークンを送信します。したがって、セッションに「name,email」などのデータを保存する必要はなく、トークン自体に存在できます。

質問 2 : ペイロードはリクエストごとに送信され、データも含まれているため、ペイロードのサイズは大きくなりませんか?

Claim : Web UI Auth だけでなく、モバイル認証にも同じ方法を使用できます。

質問 3 : サーバーはトークンを復号化してサーバーと通信する必要があるため、Web UI のオーバーヘッドではありませんか?

Claim : JS にトークンを渡し、トークンを sessionStorage または localStorage に保存します。

質問 4 : sessionStorage には「httpOnly」という概念がないため、セキュリティ上の懸念はありませんか? また、Chrome プラグインは、トークンを取得してログインすることでセキュリティを回避できますか?

最後に、CRSF の問題を除けば、UI と Mobile Auth の間でコードを共有し、CSRF にメリットをもたらしますが、現在のセッション ベースのメカニズムよりも大きなメリットはありません。私の考えは正しいですか？

また、従来のセッションベースのシステムと比較した場合の JWT の欠点は何ですか?

Python アプリで Django Rest Framework を使用しており、API 認証に JSON Web Token Authentication (DRF JWT) を使用しています。

私の問題は、カスタムコントローラーを構築しているときに発生します。calculations.py作成したファイル内の関数に特定の URL を指定しました。以下は、それらがどのように見えるかです。

urls.py

calculations.py

serializers.py

上記のserializers.pyファイルには、すべてのモデルのシリアライザー クラスと、同じモデルのビューセットが含まれています。ビューセットを にまだ転送していないviews.pyため、ファイルは今のところ空です。

いずれにせよ、mycalculations.pyはこれらのファイルとは別のものであり、このファイルで定義されている関数は、ビューを介さずに「/getReturns/」URL によって直接呼び出されています。関数が実行される前に承認クラスが呼び出されるように、計算ファイルで定義された関数をビューセットに組み込むにはどうすればよいですか?

私はかなり初心者の C++ プログラマーです (私はまだ大学生なので、一般的にかなり初心者のプログラマーだと思います)。C++ で JWT を生成しようとしています。ヘッダーとペイロードを生成してエンコードすることはできますが、openssl の hmac ライブラリを使用して生成した署名は、jwt.io で確認すると無効のようです。これは、私が見ていない微妙な間違いによるものだと感じています。私のバグを見つけていただければ幸いです。私のコードを一般的に改善する方法についての提案もあれば、それもいただければ幸いです。json には openssl と boost を使用する必要があることに注意してください。

****アップデート****

余分な新しい行が追加されており、これが認証中にエラーを引き起こしていることがわかりました。現在、私は str.erase を呼び出してそれらを削除していますが、誰かがどこに来ているかを教えてくれれば、文字列を操作する必要がないように感謝します

これは私がトークンに署名する方法です

これは、base64Url でデータをエンコードする方法です

現在、リクエストごとに JWT を必要とするオーディオ リソースをバックエンドから取得しようとしていますが、セキュリティを無効にすることはできません。ほとんどのオーディオ ファイルはプライベート ミーティングからのものです。

問題は、videogular リクエストで必要なヘッダー フィールドを設定する場所が見つからないことです ...

$httpProvider と angular-jwt を使用して、すべてのルートに既にヘッダーを設定しています。

しかし、これはオーディオファイルでは機能しないようです。

これが十分な情報であることを願っています...

ありがとうございました

外部の CAS サービスに基づいて独自のアプリケーションを構築しています。最初に外部 CAS を使用してユーザーを認証し、次にアプリケーションの使用を許可したいと考えています。

ただし、phpCAS のドキュメントを読んでいますが、安らかな方法でそれを行う方法がわかりません。

必要なのは、フロントエンドの JavaScript に渡すトークンです。ユーザーが要求を行うたびに、そのトークンを CAS に対してチェックして、ユーザーが認証されていることを確認します。それを行う方法はありますか？

チケットとプロキシについて読みましたが、理解できませんでした...初心者で申し訳ありませんが、気にしないでください。