스택큐힙리스트

나는 Basic, Digest, OAuth2.0, JWTs 및 Bearer Token과 같은 인증에 대해 배우고 있습니다. JWTs는 OAuth2.0 표준에서 액세스 토큰으로 사용됩니다. JWTs는 RFC 7519에서 사용되고, Bearer Token은 RFC 6750에 있습니다. 예를 들어, Bearer는 다음과 같습니다: Authorization: Bearer 나는 일전에 AJAX를 통해 토큰을 서버로 보냈거나 URL의 쿼리 문자열에 토큰을 추가한 적이 있습니다. 토큰은 요청 헤더에 추가하여 보낼 수도 있다는 것을 알고 있습니다. 그렇다면 토큰은 Authorization Bearer 헤더에 추가되어야 하는 것인가요? JWTs와 Bearer Token 간의 관계는 무엇인가요?답변 1간답 JWT는 코드화..

저는 Angular2 단일 페이지 앱과 ECS에서 실행되는 REST API로 구성된 시스템을 구축하고 있습니다. API는 .Net/Nancy를 사용하여 실행되지만, 그것은 아마도 바뀔 수 있습니다. Cognito를 사용해 보고 싶으며, 이것이 인증 워크플로우를 상상했던 방식입니다: SPA가 사용자를 로그인하고 JWT를 받습니다. SPA가 모든 요청과 함께 JWT를 REST API에 보냅니다. REST API가 JWT가 실제인지 확인합니다. 제 질문은 3단계에 관한 것입니다. 내 서버(또는 정확히 말해서 상태 없는, 자동 스케일링된, 부하 분산된 Docker 컨테이너)가 토큰이 실제인지 확인하는 방법은 무엇인가요? 서버 자체가 JWT를 발급하지 않았기 때문에, 기본 JWT 예제 여기에서 설명한 것처럼 자체..

저는 ADAL 라이브러리를 사용하여 리소스에 대한 액세스 토큰을 가져오고 있습니다. 만료 시간의 형식이 무엇인지 아는 사람이 있나요? 더 정확히 말하면 exp (만료 시간) 클레임입니다. JwtSecurityToken 클래스는 간단히 파싱 한 후 int32 값을 반환합니다. 따라서 그것은 좋은 지표가 아닙니다. TimeSpan 및 DateTime으로 변환해 보았지만 값들은 90 분 차이가 나지 않습니다. 거의 같습니다. 이것은 iat 및 exp 클레임에 대해 fiddler로부터 받은 내용입니다 (토큰을 파싱하기 위해 https://jwt.io/를 사용했습니다). iat: 1475874457 exp: 1475878357 값들은 그렇게 크게 차이하지 않습니다.답변 1RFC 7519에 따르면 exp, nbf,..

저는 JWT를 사용한 상태가 없는 인증 모델을 가진 새로운 SPA를 가지고 있습니다. 단순한 토큰 헤더 대신 'Bearer 토큰'을 모든 요청에 보내달라는 식으로 OAuth를 인증 흐름에 대해 자주 묻는데, 저는 OAuth가 단순한 JWT 기반 인증보다 훨씬 복잡하다고 생각합니다. 주요 차이는 무엇이며, JWT 인증을 OAuth와 같이 동작하게 만들어야 할까요? 또한 XSRF를 방지하기 위해 JWT를 XSRF-TOKEN으로 사용하고 있는데, 따로 유지해야 한다는 요청이 있습니다. 따로 유지해야 할까요? 여기에 대한 어떠한 도움도 감사하게 받아들이고, 이는 커뮤니티를 위한 일련의 지침으로 이어질 수도 있습니다.답변 1JWT를 사용하여 CSRF를 방지하는 것과 관련하여: 정확한 세부 사항을 모르면 해당 방법..