在没有 OAuth 的情况下使用 JWT 是否安全? [关闭]

【问题标题】:Is usage of JWT without OAuth secure? [closed]在没有 OAuth 的情况下使用 JWT 是否安全? [关闭]
【发布时间】:2021-06-16 22:18:45
【问题描述】:

我有一个通过 HTTPS 提供 REST API 的公共 Spring Web 应用程序。它目前仅使用 HTTP 基本身份验证。

我被要求实现 JWT 支持。我想这样做,但要保持简单 - 避免使用 OAuth 之类的东西(自以前的 spring-security-jwt is deprecated 以来,这是当前 Spring 中必须具备的)。

据我了解,在没有 OAuth 的情况下使用 JWT(在 HTTPS 中)是安全的。所以我可以从 JWT 标准中受益,而不需要专用的授权服务器。

  • 这种设置是标准/通用方法吗?
  • 能否提供 Spring 环境中的任何示例?

我的想法是使用像 jjwt 和 Spring Security 这样的库。

【问题讨论】:

    标签: java spring oauth jwt


    【解决方案1】:

    是的,没关系,强烈推荐。 HTTP 基本身份验证的问题之一是您依赖于您的凭据,您需要放入标头中,最好获取 JWT 令牌(bearer,refresh) 并将其用作承载和刷新令牌,具有适当的过期、刷新策略。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2016-04-21
      • 1970-01-01
      • 2020-06-16
      • 1970-01-01
      • 1970-01-01
      • 2019-03-18
      • 1970-01-01
      • 2019-09-04
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode