本文讨论了无状态JWT的吊销问题,提出了一整套吊销体系,包括短期access token、长期refresh token、黑名单和事件广播等机制。通过混合模式设计,结合重用检测和token轮换,确保安全性与性能。文章还探讨了统一登出和token检查等技术细节,并提供了工程实现建议和监控指标,以应对现代身份认证中的挑战。

【身份与访问控制工程】Session、Refresh Token 与吊销体系
土法炼钢兴趣小组的博客
土法炼钢兴趣小组的博客 ·

某团队的单页应用在安全审计中发现access_token以URL fragment形式暴露,存在高风险。审计指出,攻击者可通过浏览器历史和日志获取token。OAuth 2.1通过废弃隐式授权和强制使用PKCE等措施提升安全性,确保公共客户端安全地使用授权码流程。PKCE通过动态生成挑战和答案,防止授权码被拦截,增强了OAuth的安全性。

【身份与访问控制工程】OAuth 2.1 与 PKCE:现代授权主路径
土法炼钢兴趣小组的博客
土法炼钢兴趣小组的博客 ·
typecho插件-MemosSync,Memos 同步插件

typecho插件-MemosSync,Memos 同步插件
老张博客
老张博客 ·

I'm building a web app using Spring Boot (backend) and React (frontend). My authentication is based on JWT, with both access token and refresh token. The refresh token is stored in an HTTP-only...

Where should I store the access token in React?
Hot Monthly Questions - Software Engineering Stack Exchange
Hot Monthly Questions - Software Engineering Stack Exchange ·
使用OAuth2确保Spring AI MCP服务器的安全性

使用OAuth2确保Spring AI MCP服务器的安全性
Spring
Spring ·

推送授权请求(PAR)是OAuth 2.0的新功能,增强了授权码流的安全性。客户端可直接将有效载荷推送至授权服务器,降低请求被篡改的风险。ABP框架已支持PAR,用户认证后可安全获取access token,建议在应用中使用PAR以提升安全性。

在ABP框架中使用OAuth 2.0的推送授权请求(PAR)
dotNET跨平台
dotNET跨平台 ·

本文介绍了如何使用Make平台将RSS自动转发到Threads。由于dlvr.it转为全收费,作者选择整合Threads API设计自动化流程。Make是一个无需编程的自动化工具,支持7000多个应用程序,适合各种规模的企业。作者分享了建立Threads应用程序及获取长期ACCESS TOKEN的过程,并设计了包含六个模块的自动化场景。最终,作者对Make的易用性表示肯定,但对长期ACCESS TOKEN的有效性仍有疑虑。

雜談:用Make設定了RSS傳送到Threads / TALK: Forword the RSS Feed to Threads in Make
布丁布丁吃什麼?
布丁布丁吃什麼? ·
Umbraco与Bellissima:Swagger、令牌与入口点

Umbraco与Bellissima:Swagger、令牌与入口点
DEV Community
DEV Community ·
Jwt的定义与使用

Jwt的定义与使用
DEV Community
DEV Community ·

XXL-JOB是一个开源的分布式任务调度平台,存在默认accessToken未随机生成的漏洞,攻击者可利用此漏洞绕过认证并执行任意代码,导致远程代码执行。

XXL-JOB默认accessToken身份绕过RCE漏洞
FreeBuf网络安全行业门户
FreeBuf网络安全行业门户 ·

Hugging Face提供了多种访问资源的方法,包括直接在代码中传递token、使用环境变量、在Jupyter Notebook中登录、在终端中登录。每种方法都有适用的场景和优缺点。用户可以根据具体需求选择合适的方法来访问Hugging Face资源。

Hugging Face Access Tokens 四种用法 - 蝈蝈俊
蝈蝈俊
蝈蝈俊 ·

这篇文章介绍了如何使用JWT和refreshToken实现无感刷新。前端使用Vue和Axios,后端使用Python和Sanic。文章提供了前后端的具体代码实现。

前后端JWT认证使用accessToken与refreshToken实现无感刷新
安志合的学习博客
安志合的学习博客 ·

本文介绍了JWT Token和refresh token的概念和作用。JWT Token用于表示身份的唯一标识,而refresh token用于重新获取access token。access token用于访问受保护的资源,通常生命周期较短,过期后需要重新获取。refresh token用于获取新的access token,可以在几天到几个月内使用,但一旦过期或被撤销,需要重新进行身份验证。源代码地址:https://github.com/bingbing-gui/Asp.Net-Core-Skill/tree/master/Fundamentals/AspNetCore.API.Auth/AspNetCore.API.JWT.Authentication

ASP.NET Core API 刷新 access token
dotNET跨平台
dotNET跨平台 ·
NeoDB 获取 Access Token

NeoDB 获取 Access Token
大大的小蜗牛
大大的小蜗牛 ·
Docker系列 基于OpenAI API和Access Token自建ChatGPT

Docker系列 基于OpenAI API和Access Token自建ChatGPT
浮云翩迁之间
浮云翩迁之间 ·
9. 微信授权就是这个原理,Spring Cloud OAuth2 授权码模式

9. 微信授权就是这个原理,Spring Cloud OAuth2 授权码模式
古时的风筝
古时的风筝 ·

本文介绍了使用GitHub的Personal Access Token代替账号密码登录的方法,包括获取Token、清除登录状态、使用Token登录和保存Token等步骤。作者还分享了自己的GitHub使用经验,并邀请读者分享。

GitHub改用Personal Access Token登入 / Using GitHub with Personal Access Token Instead of Password
布丁布丁吃什麼?
布丁布丁吃什麼? ·

GitLab will soon begin automatically revoking Personal Access Tokens (PATs) when GitLab Secret Detection finds them in public repositories, an update that will better protect GitLab users and...

Secret Detection update: Leaked Personal Access Tokens will soon be revoked
GitLab
GitLab ·

Nobody likes CAPTCHAs. Now, with iOS 16 on iPhones, a small enabled toggle can make them disappear while improving privacy on your device. Here’s how to check if it’s “on” and try it out

How to enable Private Access Tokens in iOS 16 and stop seeing CAPTCHAs
The Cloudflare Blog
The Cloudflare Blog ·

To promote security, starting from Aug. 2021, many GitHub operations require use of personal access tokens (PAT).

Push to GitHub with Personal Access Token (PAT)
jdhao's blog
jdhao's blog ·
👤 个人中心
在公众号发送验证码完成验证