何時/何處應該在金字塔應用程序中驗證 openid 令牌?
[英]When/where should openid tokens be validated in a pyramid application?
問題描述
我正在使用金字塔框架編寫一個小型 web 應用程序。 對於身份驗證,我使用雲基礎設施的一項服務,該服務為我提供了一個 javascript web 令牌,我可以使用它來驗證用戶的身份。
我有點不確定如何將其與金字塔合並,特別是因為我發現的大多數示例要么是基於用戶名密碼的身份驗證框架,要么它們自己生成 JWT 令牌(我只是由身份提供者使用這些令牌)。
無論如何,在登錄視圖中,我目前有這樣的邏輯:
.....
user = validate_jwt_token_and_return_user(id_token, ** config)
if user:
headers = remember(self.request, user.id)
raise HTTPFound(location=next_url, headers=headers)
現在看來,我將用戶 ID 存儲為會話 cookie (?) 並且用戶訪問下一個視圖,用戶 ID 是從 cookie 中獲取的?
將 jwt_token 存儲在 cookie 中並在下一個請求中使用它來檢查用戶的登錄嘗試是否有效不是更好嗎?
1 個解決方案
解決方案1
1 已采納 2020-02-10 06:23:55
當然,您可以將 JWT 令牌存儲在 cookie 中。 您選擇身份驗證策略 - 只需編寫一個執行此操作的策略,而不是使用將其存儲在會話中的策略。
安裝 Pyramid 應用程序時的 cookiecutter 步驟拋出模塊未找到錯誤
[英]cookiecutter step when installing Pyramid application throws module not found error
為什么我已經驗證了令牌完全相同時卻一直收到無效令牌? 密碼學 Fe.net:無效令牌
[英]Why do i keep getting invalid token when i've validated that the tokens are the exact same? Cryptography Fernet : Invalid Token
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.