問題タブ [json-web-token]

誰かが秘密鍵を知っていて、たとえばjsonトークンのユーザー名と有効期限を変更した場合、サーバー上の保護されたデータにアクセスできますか?

JOSE を使用する場合、任意の種類のペイロードを使用できますか?

次のようなことを考えていました: {"alg":"ES512", "cty":"XML" }

XMLファイルから文字列を作成するだけで、サーバー側でctyをチェックしてXMLを作成します。

私はそれが可能であると確信していますが、例を見ていないので、おそらくそれは jose の背後にあるアイデアではなく、cty はペイロードが JWT または jose に関連するものであることを示すためだけのものであると考え始めました。

JWT ペイロード内のデータから始めて、ユーザーを一意に識別する最良の方法は何ですか?

これが本当に安全かどうか確信が持てないので、ユーザー アカウントの主キーとして電子メール アドレスのみ (または、そのソルト付きハッシュ) を使用することはしません。

user_id と provider_id を特殊文字で区切って連結しても問題ありませんか? この連結は、すべての「ビッグ」および「正直な」プロバイダー間で一意であることが保証されていますか (ルージュプロバイダーが悪いことをする可能性があるかどうかはわかりません)? それとも、電子メール アドレスと provider_id を連結したものですか?

署名を検証して JWT トークンを検証しようとしています。しかし、検証中にエラーが発生します

java.security.SignatureException: 署名の長さが正しくありません: 342 を取得しましたが、256 を期待していました

. sha256署名はデータの暗号化されたハッシュであると想定しています。私の場合、データはbase64(header)+"."+base64(body)です。これが私のコードです：

node.js で jsonwebtoken を使用して jose4j によって生成された json Web トークンを検証しようとすると、次のエラーが表示されます。

[エラー: PEM_read_bio_PUBKEY が失敗しました]

jose4j コードは、基本的に例からそのまま引用されています。

したがって、トークンは内部的に正常に検証されます。ただし、トークンとキーをコピーすると (たとえば、以下は実行から)、上記のエラーが報告されます。

生成されたトークンを公開鍵で検証できるようにする (jose4j または jsonwebtoken のいずれかで) 不足している魔法はありますか?

ちなみに、トークンを jwt.io に貼り付けると、ヘッダーとペイロードが正しくデコードされますが、同じ公開鍵を使用して署名を検証することはできません。問題は本当に jose4j 側にあると思いますが、よくわかりません。

認証に Web トークンを使用し、REST API にアクセスする必要があります。天気 API にもアクセスしようとしていますが、ヘッダーが x-access-token を送信していて、次のエラーが発生しているためアクセスできません。

要求ヘッダー フィールド x-access-token は、Access-Control-Allow-Headers では許可されていません。

その特定のリクエストに対してヘッダートークンを未定義にリセットするために、次のことを試しました。残念ながら、ブラウザー コンソールで構成オブジェクトを調べると、ユーザーのトークンがまだ残っています。助けてください！

weatherService.js

app.js

authService.js