Qual è il modo migliore per condividere i miei token di accesso ? Va bene condividerlo nell'intestazione come testo normale, oppure devo cercare ad es. JWT ?
Flusso di lavoro corrente:
-> POST /api/login -d {**creds}
<- 201 [headers (including X-Access-Token)]
-> GET /api/secrets -H 'X-Access-Token: ""'
L'intestazione attualmente è composta da:
X-Access-Token: <scope>::<uuid>::<expires_in>::<state>
Se stai facendo questo per l'identità federata (macchina singola / persona che usa più servizi) quindi usa un sistema appositamente creato per questo.
L'identità federata è difficile da costruire correttamente e improbabile che sia abbastanza importante per la tua azienda da essere una competenza di base che giustifichi il corretto mantenimento.
Raccomando di utilizzare SAML 2.0 perché è ampiamente distribuito e supportato. Molte implementazioni (incluso Shibboleth / OpenSAML) sono state ampiamente testate a penna.
JWT è molto simile a SAML, ma è ancora in evoluzione e le incoerenze nelle implementazioni potrebbero rendere frustrante la distribuzione con successo.
Entrambi si basano su tecniche crittografiche valide e la loro implementazione sicura dipende fondamentalmente dall'efficace gestione delle chiavi. L'utilizzo di una singola chiave privata per la firma dell'asserzione SAML o dei token JWT per un periodo di tempo eccessivo, il volume di asserzioni / token o dopo sospetta compromissione di un sistema con accesso con chiave in chiaro compromette la sicurezza di tutti i servizi federati.
Leggi altre domande sui tag authentication oauth authorization jwt token