스택큐힙리스트

ASP.NET Core 2에서 여러 개의 JWT 토큰 발급자를 지원할 수 있는지 가능한가요? 외부 서비스를 위한 API를 제공하려고 하는데 Firebase와 사용자 정의 JWT 토큰 발급자 두 가지 소스의 JWT 토큰을 사용해야 합니다. ASP.NET Core에서 Bearer 인증 체계를 위해 JWT 인증을 설정할 수 있는데, 하나의 Authority에 대해서만 가능합니다: services .AddAuthentication(JwtBearerDefaults.AuthenticationScheme) .AddJwtBearer(options => { options.Authority = https://securetoken.google.com/my-firebase-project options.TokenValidati..

저는 OAuth 2.0 JWT access_token을 내 인증 서버에 구현하고 있습니다. 그러나, JWT의 aud claim과 client_id HTTP 헤더 값의 차이에 대해 명확히 이해되지 않습니다. 그들은 같은가요? 그렇지 않다면, 둘 사이의 차이를 설명해 주실 수 있을까요? 저의 의심은 aud가 리소스 서버를 가리켜야 하고, client_id가 인증 서버에서 인식하는 클라이언트 응용 프로그램 중 하나를 가리켜야 한다는 것입니다. (예: 웹 앱 또는 iOS 앱) 현재 경우, 제 리소스 서버는 동시에 제 웹 앱 클라이언트입니다.답변 1결과적으로, 제 의심이 맞았습니다. JWT의 audience aud 클레임은 토큰을 수락해야 하는 리소스 서버를 가리키도록 설계되었습니다. 이 게시물에서는 다음과 같이..

모바일 앱을 개발하고 있으며 인증을 위해 JWT를 사용하고 있습니다. 가장 좋은 방법은 JWT 액세스 토큰을 리프레시 토큰과 함께 사용하여 원하는만큼 액세스 토큰을 만료시킬 수 있다는 것 같습니다. 리프레시 토큰은 어떻게 생겼나요? 랜덤한 문자열인가요? 그 문자열은 암호화되어 있나요? 다른 JWT인가요? 리프레시 토큰은 데이터베이스의 사용자 모델에 저장되어 액세스에 사용되는 것이 맞습니까? 이 경우에는 암호화되어야 할 것 같습니다. 사용자 로그인 후에 리프레시 토큰을 다시 전송하고, 클라이언트가 별도의 경로를 통해 액세스 토큰을 가져오도록 하나요? 답변 1다음은 JWT 액세스 토큰을 취소하는 방법입니다: 로그인 할 때 클라이언트에게 2 개의 토큰 (액세스 토큰, 리프레시 토큰)을 응답으로 전송합니다. 액..

우리의 새로운 REST API에 JWT 기반 인증을 구현하고 싶습니다. 하지만 토큰에 유효기간이 설정되어 있기 때문에 자동으로 연장할 수 있을까요? 사용자가 일정 기간 동안 애플리케이션을 활발하게 사용 중이라면 X 분마다 로그인해야하는 경우를 원하지 않습니다. 그렇게 된다면 사용자 경험에 큰 실패가 발생합니다. 하지만 만료 기간을 연장하면 새로운 토큰이 생성됩니다 (그리고 이전 토큰은 만료될 때까지 여전히 유효합니다). 그리고 각 요청 후에 새로운 토큰을 생성하는 것은 나에게 어리석게 들립니다. 동일한 시간에 여러 토큰이 유효한 보안 문제처럼 들립니다. 물론 검정 목록을 사용하여 이전에 사용된 토큰을 무효화 할 수는 있지만, 토큰을 저장해야합니다. 그리고 JWT의 이점 중 하나는 저장이 없다는 것입니다...