asp.net-core – uri查询参数中的asp.net核心JWT?
我有一个受JWT和Authorize属性保护的api,在客户端我使用
jquery ajax调用来处理它.
这工作正常,但我现在需要能够安全下载文件,所以我不能设置标头承载值,它可以作为url参数在URI中完成吗? = – = – = – = – 更新:这是我最终为我的场景做的,这是一个内部项目,而且数量非常少但安全性很重要,未来可能需要扩展: 当用户登录时,我生成一个随机下载密钥并将其放入数据库中的用户记录以及其JWT的到期日期,并将下载密钥返回给客户端.如果存在具有下载密钥且该密钥存在于用户记录中并且未到期的查询参数,则下载路由受到保护以仅允许下载.这样,dl密钥对于每个用户是唯一的,只要用户的auth会话有效并且可以容易地撤销,则该密钥有效. 解决方法
虽然在技术上可以在URL中包含JWT,但强烈建议不要这样做.请参阅
here的引用,这解释了为什么这是一个坏主意:
(编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- asp.net-mvc-3 – MVC 3中的BeginRequest类过滤器?
- asp.net-mvc – ASP.NET不向客户端发送上传进度
- asp.net-mvc – 针对移动应用的REST API的OAuth
- asp.net – .NET Web API HttpResponseMessage模式?
- asp.net – 如何使用angular2的http与应用程序主机端口之外
- 分享一个asp.net pager分页控件
- asp.net – 如果我只是在做一个查找表,我应该使用自动生成的
- 在ASP.NET中如何检测上传文件的MIME类型?
- 如何将ASP.NET用户和路由数据传递给JavaScript?
- asp.net – asmx到WCF或Web API
- Asp.net mvc将C#对象传递给Javascript
- asp.net-mvc-3 – 在ASP.NET MVC中,“<%=”,“<
- 发布一个性能测试工具的破解补丁
- .Net异步编程知多少
- asp.net-mvc – IIS7 ASP.NET MVC客户端缓存标头
- asp.net-mvc – FluentValidation Autofac Valid
- asp.net – 使用OpenOAuthProvider通过Google进行
- ef-code-first – 如何通过使用Identity ASP.NET
- ASP.NET MVC – jquery datepicker
- ASP.NET应用程序从Session.Remove实现中抛出Syst