Condivisione di token di accesso nell'intestazione della risposta?

4

Qual è il modo migliore per condividere i miei token di accesso ? Va bene condividerlo nell'intestazione come testo normale, oppure devo cercare ad es. JWT ?

Flusso di lavoro corrente:

-> POST /api/login -d {**creds}
<- 201 [headers (including X-Access-Token)]
-> GET /api/secrets -H 'X-Access-Token: ""'

L'intestazione attualmente è composta da:

X-Access-Token: <scope>::<uuid>::<expires_in>::<state>
    
posta A T 09.12.2015 - 00:56
fonte

1 risposta

0

Se stai facendo questo per l'identità federata (macchina singola / persona che usa più servizi) quindi usa un sistema appositamente creato per questo.

L'identità federata è difficile da costruire correttamente e improbabile che sia abbastanza importante per la tua azienda da essere una competenza di base che giustifichi il corretto mantenimento.

Raccomando di utilizzare SAML 2.0 perché è ampiamente distribuito e supportato. Molte implementazioni (incluso Shibboleth / OpenSAML) sono state ampiamente testate a penna.

JWT è molto simile a SAML, ma è ancora in evoluzione e le incoerenze nelle implementazioni potrebbero rendere frustrante la distribuzione con successo.

Entrambi si basano su tecniche crittografiche valide e la loro implementazione sicura dipende fondamentalmente dall'efficace gestione delle chiavi. L'utilizzo di una singola chiave privata per la firma dell'asserzione SAML o dei token JWT per un periodo di tempo eccessivo, il volume di asserzioni / token o dopo sospetta compromissione di un sistema con accesso con chiave in chiaro compromette la sicurezza di tutti i servizi federati.

    
risposta data 29.12.2015 - 03:22
fonte

Leggi altre domande sui tag