Angularjs проверить JWT

Question

Angularjs проверить JWT

0

Я попытался внедрить JWT в мое приложение Angularjs для обеспечения надежной аутентификации. Я создал JWT на стороне сервера (java), и реализация возвращает JWT на стороне клиента после успешного входа в систему. Я сохранил JWT в $ http.defaults.headers.common.Authorization, а также в $ window.sessionStorage. Теперь я мог видеть JWT во всех запросах, сделанных службой $ http.

Часть, которую я не понимаю, я не знаю, как исходить из этого момента. Я предполагаю, что я должен проверить JWT с этого момента для всех вызовов $ http на стороне сервера. Может ли кто-нибудь уточнить, как я должен действовать для проверки JWT на стороне клиента на стороне сервера?

SGN 02 июнь 2016, в 12:18

Источник

1

Что на стороне сервера? Rails? Узел?
Katana24 02 июнь 2016, в 10:14
0

извините, я не упомянул, что это Java
SGN 02 июнь 2016, в 10:18
0

Что вы делаете, это добавляете некоторую идентификацию о текущем пользователе в токене, и при каждом запросе вы получаете значение из заголовка Authorization и анализируете его. Затем вы проверяете, какой пользователь был закодирован в токене, и связываете текущий запрос с их. Вы можете отлаживать токен здесь с помощью токена и секретного ключа (доступно только на сервере). обратите внимание, что вы не должны кодировать личную информацию и помещать в нее как можно меньше информации, чтобы не получить огромный токен. Также рекомендуется передавать его по защищенному соединению (HTTPS)
Alon Eitan 02 июнь 2016, в 10:19
0

@SGN SGN Ну, если бы это были рельсы, я мог бы выстрелить в некотором коде, но, увы, это не так!
Katana24 02 июнь 2016, в 10:21

Показать ещё 2 комментария

Теги:

java

javascript

angularjs

jwt

1 ответ

Ещё вопросы

извините, я не упомянул, что это Java
Что вы делаете, это добавляете некоторую идентификацию о текущем пользователе в токене, и при каждом запросе вы получаете значение из заголовка Authorization и анализируете его. Затем вы проверяете, какой пользователь был закодирован в токене, и связываете текущий запрос с их. Вы можете отлаживать токен здесь с помощью токена и секретного ключа (доступно только на сервере). обратите внимание, что вы не должны кодировать личную информацию и помещать в нее как можно меньше информации, чтобы не получить огромный токен. Также рекомендуется передавать его по защищенному соединению (HTTPS)
@SGN SGN Ну, если бы это были рельсы, я мог бы выстрелить в некотором коде, но, увы, это не так!

Mihai · Answer 1 · 2016-06-02T08-23-00.000Z

Да, каждый раз, когда клиент делает запрос на бэкэнд, вы должны предоставить JWT в заголовке.

Внутри JWT вы можете иметь некоторые параметры, которые идентифицируют пользователя, например, его имя пользователя. Не храните в JWT пароль или другую конфиденциальную информацию.

Если вы используете Java, вы можете создать фильтр, который будет сопоставлен с URL-адресом, который может иметь только уполномоченный пользователь. В фильтре вы можете сделать необходимые проверки, чтобы проверить, правильно ли установленный токен, если это вы можете позволить прохождению запроса, иначе вы можете вернуть клиенту ошибку, указав, что у него нет доступа.

Если вам нужна дополнительная информация, возможно, это хорошее место для начала.

Тем не менее, у меня нет идеи реализовать этап 56 и этап 6, приведенные на рисунке выше. Любая идея или блоги по этому поводу?