스택큐힙리스트

ASP.NET Core 2에서 여러 개의 JWT 토큰 발급자를 지원할 수 있는지 가능한가요? 외부 서비스를 위한 API를 제공하려고 하는데 Firebase와 사용자 정의 JWT 토큰 발급자 두 가지 소스의 JWT 토큰을 사용해야 합니다. ASP.NET Core에서 Bearer 인증 체계를 위해 JWT 인증을 설정할 수 있는데, 하나의 Authority에 대해서만 가능합니다: services .AddAuthentication(JwtBearerDefaults.AuthenticationScheme) .AddJwtBearer(options => { options.Authority = https://securetoken.google.com/my-firebase-project options.TokenValidati..

소켓 연결을 인증하는 방법은 어떻게 할 수 있을까요? 제 응용 프로그램은 다른 서버 (파이썬)에서 로그인 엔드포인트를 사용하여 토큰을 받습니다. 사용자가 노드 측에서 소켓 연결을 열 때마다 해당 토큰을 사용하는 방법을 알고 싶습니다. io.on('connection', function(socket) { socket.on('message', function(message) { io.emit('message', message); }); }); 이는 클라이언트 측입니다: var token = sessionStorage.token; var socket = io.connect('http://localhost:3000', { query: 'token=' + token }); 토큰이 파이썬에서 생성된 경우: toke..

모바일 앱을 개발하고 있으며 인증을 위해 JWT를 사용하고 있습니다. 가장 좋은 방법은 JWT 액세스 토큰을 리프레시 토큰과 함께 사용하여 원하는만큼 액세스 토큰을 만료시킬 수 있다는 것 같습니다. 리프레시 토큰은 어떻게 생겼나요? 랜덤한 문자열인가요? 그 문자열은 암호화되어 있나요? 다른 JWT인가요? 리프레시 토큰은 데이터베이스의 사용자 모델에 저장되어 액세스에 사용되는 것이 맞습니까? 이 경우에는 암호화되어야 할 것 같습니다. 사용자 로그인 후에 리프레시 토큰을 다시 전송하고, 클라이언트가 별도의 경로를 통해 액세스 토큰을 가져오도록 하나요? 답변 1다음은 JWT 액세스 토큰을 취소하는 방법입니다: 로그인 할 때 클라이언트에게 2 개의 토큰 (액세스 토큰, 리프레시 토큰)을 응답으로 전송합니다. 액..

만약 JWT를 얻고 페이로드를 디코딩할 수 있다면, 어떻게 보안이 되는 건가요? 그냥 헤더에서 토큰을 가져와 디코딩하고 페이로드에서 사용자 정보를 변경한 다음 올바로 인코딩된 비밀 키로 다시 보내면 안 될까요? 그들은 안전해야 한다는 건 알겠지만, 기술을 이해하고 싶습니다. 뭘 놓치고 있는 건가요?답변 1메시지를 받을 때, Bob은 해시(payload + 비밀값)을 계산하여 서명이 일치하는지 확인할 수도 있습니다. 그러나 Mallory가 내용을 변경한다면, 일치하는 서명(해시(새로운내용 + 비밀값))을 계산할 수 없습니다. 그녀는 비밀값을 알지 못하고 알 방법도 없습니다. 이것은 그녀가 무언가를 변경한다면, 서명이 더 이상 일치하지 않을 것이며, Bob은 그때부터 JWT를 더 이상 수락하지 않을 것입니다..