Thu Thập Câu Hỏi Về JSON Web Token (JWT) - Dạy Nhau Học Trang chủ » Jwt Lưu ở đâu » Thu Thập Câu Hỏi Về JSON Web Token (JWT) - Dạy Nhau Học Có thể bạn quan tâm Jwt Php Github Jwt Trong C# Jwt Trong Php Jwt Và Oauth2 Jwt Vs Oauth2 C# Thu thập câu hỏi về JSON Web Token (JWT) programming jwt Le_Uy_Tran (Uy) June 24, 2021, 4:54am #1 Hi all Mình đang tìm hiểu về Json Token Web (JWT). Để củng cố kiến thức và hiêu rõ về phần này, mình muốn xin mỗi người một (hoặc một vài) câu hỏi về JWT. Mình sẽ tìm hiểu và trả lời theo hiểu biết của mình, mong mọi người góp ý. 3 Likes tonghoangvu (Vu Tong) June 24, 2021, 2:48am #2 Mình đang lấn cấn vụ này. Cho mình hỏi là khi access token hết hạn thì sẽ gửi refresh token lên server lấy access token mới. Vậy server trong trường hợp này có trả về refresh token mới không, hay chỉ có access token thôi? 4 Likes Le_Uy_Tran (Uy) June 24, 2021, 3:08am #3 Mình k hiểu ý bạn refresh token mới là sao. Theo mình hiểu thì khi access token hết hạn thì refresh có nhiệm vụ duy nhất là lấy về token mới, còn lại sẽ không có khái niệm refresh token cũ hay mới k biết là có đúng k #edit: refresh token lưu sở server, vì nó chỉ được dùng khi access token hết hạn, k dùng cho việc máy client yêu cầu truy cập, nên nó k gửi đi đâu cả 2 Likes tonghoangvu (Vu Tong) June 24, 2021, 3:23am #4 Mình không hiểu nếu refresh token lưu ở server, client không có được refresh token thì làm sao client lấy được access token mới? Nghĩa là khi muốn cấp access token mới thì client phải gửi lên server “thứ gì đó” để chứng minh. Trong khi access token thì hết hạn mà refresh token lưu trên server thì làm sao chứng minh được? 3 Likes Le_Uy_Tran (Uy) June 24, 2021, 3:28am #5 Về phần này thì mình chưa rõ. Nhưng trên thực tế, mình test api refresh token thì server sẽ yêu cầu gửi kèm access token cũ để xác thực, đúng thì sẽ cấp lại access token mới, còn sai thì sẽ lỗi 401 - Unauthorized 3 Likes tonghoangvu (Vu Tong) June 24, 2021, 3:51am #6 Sau khi tìm hiểu thì mình trả lời câu hỏi đầu tiên của mình như sau. Chỉ có access token mới được cấp lại. Còn refresh token khi hết hạn cần thực hiện đăng nhập lại từ đầu. 5 Likes 907pqv (Violet) June 24, 2021, 4:33am #7 tonghoangvu: Còn refresh token khi hết hạn cần thực hiện đăng nhập lại từ đầu. Có một số hệ thống quan trọng mà việc bắt người dùng đăng nhập lại có thể ảnh hưởng lớn đến người dùng, thậm chí mất tiền thì sao? nguyenhuuca (Nguyen Ca) June 24, 2021, 4:32am #8 JWT hoặc động như thế nào? Các thành phần của 1 JWT? 1 Like Le_Uy_Tran (Uy) June 24, 2021, 4:32am #9 Bạn có thể mô tả rõ hơn về hệ thống bạn đề cập đến được không? 2 Likes catlord (Cat Lord) June 24, 2021, 5:11am #10 nên lưu trữ gì vào jwt. jwt thực hiện xác thực như thế nào jwt có mục đính là gì giữa jwt và 1 chuỗi session id ngẫu nhiên thì cái nào lợi hơn. và nên xài cái nào và khi nào có cách nào ngoài jwt không 1 Like Le_Uy_Tran (Uy) June 24, 2021, 7:12am #11 JWT hoạt động theo luồng sau: User thực hiện login bằng cách gửi email/password cho Server xác thực Server tiếp nhận các dữ liệu mà User gửi lên để phục vụ cho việc xác thực người dùng. Trong trường hợp thành công, Authentication Server sẽ tạo một JWT và trả về cho người dùng thông qua response. Sau khi nhận lại được response, User sẽ dùng jwt gắn vào header của request để có quyền truy cập các tài nguyên. Application Server trước khi thực hiện yêu cầu được gọi từ phía User, sẽ verify JWT gửi lên. Nếu OK, tiếp tục thực hiện yêu cầu được gọi. JWT bao gồm 3 phần chính: header, payload và signature header chứa loại token và thuật toán dùng dể mã hóa payload chứa các nội dung thông tin (người phát hành, thời gian phát hành, thời gian hết hạn,…) signature (chữ ký): là phần kết hợp header+payload lại rồi mã hóa bằng một thuật toán encode nào đó, càng phức tạp càng tốt. 1 Like Le_Uy_Tran (Uy) June 24, 2021, 7:26am #12 câu hỏi này mình không có câu trả lời chính xác về việc nên lưu những cái gì. cách xác thực mình đã trình bày ở trên jwt nên dùng nhất là cho việc xác thực người dùng, xác thực api ( giả dụ bạn có 1 api xem danh sách người dùng phía backend, không may người khác biết được api đó, bạn làm thế nào để chỉ những người được phép mới xem được api đó? - lúc này jwt sẽ làm việc này) hầu hết các ứng dụng ngày nay đã chuyển sang dùng token, session gây tốn bộ nhớ server ( ví dụ cả nghìn người đăng nhập). Tuy nhiên dùng jwt cần cẩn thận hơn vì có chứa nhiều thông tin người dùng hơn (nên lưu ở cookie httponly thay vì local storage và nên gửi kèm https) ngoài jwt có passport token, Oauth, Openid connect catlord (Cat Lord) June 24, 2021, 8:16am #13 1/ vì jwt có mang thông tin trong token nên đừng lưu thông tin nhạy cảm là được (như mật khẩu) 4/ vậy nếu session id ở đây ko được lưu ở server, chỉ lưu ở db giống như jwt. đóng vai trò như 1 auth token thì như thế nào? 1 Like noname00 (HK boy) split this topic June 24, 2021, 10:46am #14 A post was merged into an existing topic: Topic lưu trữ các post off-topic - version 3 DayNhauHoc's Discord Học C++ Free? Click Blog Dạy Nhau Học Tự Học Lập Trình 83% thành viên diễn đàn không hỏi bài tập, còn bạn thì sao? Từ khóa » Jwt Lưu ở đâu Nên Lưu Token ở đâu, Có Những Vấn đề Liên Quan đến Security? - Viblo JSON Web Token - Nên Lưu Token ở đâu? - Anonystick LocalStorage Và Cookies – Chọn Cái Nào để Lưu JWT Tokens Hiệu ... Authentication Trong SPA (ReactJs, VueJs) " Nên Lưu Token ở đâu ... Lưu Trữ JWT Thế Nào Cho An Toàn? Sử Dụng JWT Authentication Khi Nào Và Như Thế Nào? Authentication Nâng Cao Trong SPA (Vue/React) Dùng JWT Kết Hợp ... Viblo - Authentication Trong SPA (ReactJs, VueJs) - Nên... | Facebook Các Bước Thực Hiện đăng Nhập Với JWT | Easy Frontend Hiểu Sâu Về JWT - JSON Web Tokens - Trung Quân JSON Web Token (JWT) Là Gì - TopDev Ghi Chú Về JWT | TopDev TopDev - Cookie, Session, Token, JWT, Lưu Token ở đâu, Các... Tìm Hiểu Về Refresh Token? Nguyên Lý Hoạt đông Của Refresh Token
83% thành viên diễn đàn không hỏi bài tập, còn bạn thì sao?