认证授权

我在用 bcrypt 给用户注册密码加密，登录时比对总是失败。明明输入的是正确的密码，但 bcrypt.compare 返回 false，是不是我哪里用错了？ 我加密的时候用的是 bcrypt.has...

我在React项目里用JWT做用户认证，登录后把access_token和refresh_token都存localStorage了。但access_token只有15分钟有效期，过期后接口就401了，...

我在用React做登录功能，接口返回401时想自动刷新token再重试原请求，但不知道怎么优雅地处理。试过在拦截器里刷新，但遇到多个请求同时过期时会重复刷新。 现在代码大概是这样： const api...

我用 OpenID Connect 接入了公司的统一认证，登录成功后拿到了 ID Token，但不确定该存 localStorage 还是 sessionStorage，听说都有安全风险？ 现在我是这...

最近在做登录功能，后端返回了 Access Token，但我不确定该存在哪。听说 localStorage 容易被 XSS 攻击，但用 cookie 又怕 CSRF，到底怎么选才安全？ 我试过把 to...

我们项目最近接入了CAS做单点登录，登录跳转回来之后发现页面的CSS全乱了，布局完全错位。本地开发环境没问题，但一走CAS流程就出问题，是不是重定向过程中丢失了某些样式上下文？ 我试过检查网络请求，C...

我们接入了公司统一的SSO系统，登录成功后会跳转回前端页面并带上code参数。现在的问题是：我该在前端怎么拿这个code换用户信息？直接用axios发请求到后端接口可以吗？而且拿到用户信息后存loca...

我在用 Web Authentication API 做指纹登录，验证通过后怎么把用户身份传给后端才安全？直接发 user ID 会不会被伪造？ 现在前端拿到 PublicKeyCredential ...

我正在用Vue做第三方登录，后端用的是OAuth2.0授权码模式。现在的问题是，拿到access_token之后，不知道该存在localStorage还是cookie里，听说都有安全风险。而且我试过把...

我在做登录功能时遇到了个难题：后端设置了登录失败5次封号1小时的策略，但用户反馈经常误输密码后被封号，体验太差。我试过在前端用localStorage记录失败次数，但刷新页面就重置了。 后来改成后端用...

我在做用户登录功能时把 Access Token 放在了 LocalStorage，但测试跨域请求时突然出现错误：“Failed to load resource: Preflight respons...

我在做SSO单点登录时遇到个奇怪的问题，登录回调页面跳转总报跨域错误。用Auth0的方案，配置了回调地址和redirect_uri，但每次登录成功跳回来的时候控制台都提示： Refused to di...

在用Vue项目对接CAS单点登录时，登录成功后页面一直跳转到404。发现CAS返回的URL参数是ticket=ST-123456，但我的前端接收地址是/callback?ticket=ST-12345...

我现在在做登录功能的安全防护，想限制用户频繁提交密码。之前尝试用前端倒计时禁用提交按钮：setDisabled(true)，但用户直接刷新页面就能继续尝试，这样根本没效果。 后端同事说他们已经做了失败...

我在做文件上传功能时发现，当用户同时上传多个文件时，每个文件请求都会带着JWT访问接口，但遇到令牌过期的情况，所有请求都会触发刷新逻辑。比如这样： axios.interceptors.respons...

我在前端用JavaScript调用Argon2对用户密码进行哈希处理，然后通过fetch发送到后端，但一直报错“Blocked by CORS policy: No 'Access-Control-A...

我在React项目里用argon2-browser库做密码哈希，按照文档写了注册和登录逻辑。但发现同一个密码多次哈希后得到的字符串每次都不同，导致登录验证总是失败。 比如用户注册时用argon2.ha...

我在登录表单里用bcrypt加密密码，但提交后密码字段变成undefined了，这是为什么啊？ 场景是这样的：用户输入密码后点击登录，我用bcrypt.hashSync加密密码再发请求。但控制台打印出...

在React应用集成CAS单点登录时，获取到serviceTicket后调用验证接口总报错“Ticket不匹配”。代码逻辑没问题，但控制台显示400错误，试过刷新页面重试还是不行。 function ...