rest - 使用 JWT 保护用于验证客户端的 RESTful API
问题描述
我有一个使用 JWT 进行身份验证的 RESTful API。我从客户端收到的第一个调用是 /login 调用,带有以下有效负载(无标头)
{
"username" : xxxx,
"password": wwww
}
服务器验证用户是否已注册,然后将签名的 JWT 返回给客户端,以便在下一次调用中接收。
我想知道这是否足够安全。如果客户端向我发送客户端 ID / 客户端密码(如在 OAuth 中),我不会检查任何地方,因此我无法验证此调用是否来自我的 webapp / 应用程序,或者它是否是我不知道的外部客户端。我想知道使用 JWT 实现这种行为是否有意义以及如何实现它。
(我知道如何使用 OAuth2,但我现在不想从 JWT 身份验证中转移)
谢谢!
解决方案
我想我找到了另一个回答我的 Stackoverflow 问题: JWT (Json Web Token) Audience "aud" vs Client_Id - 有什么区别?
简而言之,client_id 和 client_secret 应该在标头上发送到服务器以在发送新的 JWT 令牌之前进行验证。
推荐阅读
- python - Scrapy 脚本没有将设置传递给蜘蛛
- c# - 在 c# .Net Framework 中解密 Google Cookie?
- javascript - 将二维数组的第一个数组与所有其他列配对
- swiftui - NavigationLink 触控区
- excel - 保存宏表后 CSV 中的额外行
- android-studio - 我的应用程序在显示启动画面后无法启动另一个活动,并且显示此错误
- python - Tensorflow - 安装版本 2.3.0
- node.js - 尝试在 AWS Lambda 函数中调整 Sharp 大小时文件丢失
- dask - 如何将两个 dask 数据帧与字符串索引合并?
- python - Django i18n 路由不适用于应用程序 url