后端应用程序如何验证JavaScript框架应用程序发送的JWT令牌？

debugcn 发表于 Dev

理查德77

我试图了解隐式流程的工作原理。

假设前端应用程序是Angular，后端是ASP.NET WEB API。如上述屏幕快照所述，在过程结束时，我的角度应用程序获取了一个JWT，它存储在浏览器的本地存储中。令牌将与每个请求一起发送到API。

由于无法信任任何JavaScript应用程序，因此后端应用程序应验证令牌。我的问题是知道我的API将如何做到这一点？API是否需要对提供者进行自己的调用以验证令牌是否有效？

感谢您的帮助

蒂姆·比格莱森（Tim Biegeleisen）

这是JWT模式以与语言无关的方式进行的一般回答。后端验证来自前端的传入JWT的典型方法是首先检查校验和。每个JWT都有一个校验和字段，它是使用仅服务器拥有的密钥根据JWT的内容计算出来的一种哈希。第一步，服务器可以计算校验和并与JWT中的值进行比较。如果不匹配，则服务器将立即以其内容被篡改为由拒绝JWT。

服务器可能要采取的第二步是检查传入JWT的Claims部分。声明部分可能如下所示：

{
    sub: "some_user",
    exp: "2020-09-10 00:00:00",
    ...
}

上面的关键声明是exp，它是到期日期的缩写。这是服务器颁发的JWT不再有效的时间。服务器将拒绝过期的传入JWT。

服务器可能还会执行其他检查。例如，它可能会进入黑名单缓存，以查找已手动失效的JWT。

本文收集自互联网，转载请注明来源。

如有侵权，请联系[email protected] 删除。

编辑于2021-04-5

我来说两句

0条评论

登录后参与评论

来自分类Dev

Related 相关文章

文章

后端应用程序如何验证JavaScript框架应用程序发送的JWT令牌？

后端应用程序如何验证JavaScript框架应用程序发送的JWT令牌？

如何正确地将数据从javascript（jQuery）应用程序发送到Rails后端（Heroku）？

从C ++应用程序发送验证电子邮件

如何模拟angularjs应用程序的后端？

C ++应用程序框架

如何保护应用程序-后端通信？

android应用程序的后端建议

移动应用程序的前端-后端通信

如何使用Django restframework作为移动应用程序的后端

Android聊天应用程序后端

如何构建WOPI验证应用程序

如何将承载令牌转换为MVC应用程序的身份验证Cookie

如何使移动应用程序的服务器后端？

如何使用GCP验证应用程序？

如何在应用程序或浏览器中存储JWT和刷新令牌？

从C ++应用程序发送验证电子邮件

Web应用程序后端的C ++

CakePHP应用程序作为移动应用程序的后端

Android应用程序后端

更好的做法是在后端准备html或将数据从后端发送到前端应用程序

如何配置前端JavaScript应用程序？

如何验证xcode应用程序的语言？

如何将承载令牌转换为MVC应用程序的身份验证Cookie

使用 JWT 令牌为移动应用程序提供 API

客户端应用程序 jwt 令牌解码和验证安全

如何使用 Facebook 身份验证和后端服务器实现 Android 应用程序

您如何验证从主应用程序启动的应用程序中的令牌是否正确？

从 Spring Boot 为角度应用程序生成 jwt 令牌

当应用程序被用户杀死时，如何从后端删除发送到 iPhone 的通知

来自Android应用程序的cakephp JWT身份验证的令牌值应该是多少？