Token di accesso JWT: troppe informazioni?

Question

Token di accesso JWT: troppe informazioni?

#1 da (2 voti)

1

Recentemente ho riscontrato la pratica dei sistemi che utilizzano JWT come token di accesso. Ho una preoccupazione e non sono sicuro che sia infondato:

Associo le JWT al protocollo OpenID Connect, dove vengono utilizzati come token ID. Hanno nel pubblico previsto. Le affermazioni in loro dovrebbero essere solo per quel pubblico. Ad esempio, potrei essere felice che un pubblico abbia il mio numero di telefono ma non un altro.

D'altra parte un token di accesso opaco non contiene nient'altro che la mia autorizzazione ad accedere a una risorsa. Riguarda la delega; quel token può viaggiare in sicurezza da un sistema all'altro, con il mio permesso (conferma?).

Tuttavia se usi efficacemente un token ID come un token di accesso, non solo stai passando il mio permesso per accedere a una risorsa, ma stai passando dettagli su me .

Ho frainteso qualcosa o questa dovrebbe essere una vera preoccupazione?

oauth oauth2 openid-connect

posta Andy N 05.12.2018 - 11:33

fonte

1 risposta

Leggi altre domande sui tag oauth oauth2 openid-connect

Iniezione comando quando tutti i personaggi pericolosi sono sfuggiti? Come l'attacco DDoS di flood flooding non viene rilevato?

score 2 · Accepted Answer

Dipende tutto dal fatto che l'RP abbia effettivamente bisogno delle informazioni fornite nel token per valutare le autorizzazioni.

Potresti avere problemi di privacy se si tratta di informazioni puramente identificative. Il fatto che si tratta di un uso di token duale è problematico, ma se questo pone in realtà un problema deve essere valutata caso per caso.

Modifica: Delegazione dei permessi è uno sfortunato capacità perché questi gettoni sono spesso gettoni al portatore - chi ha il token può utilizzare il token. Non c'è modo di separare questa autorizzazione dal token, a meno che non ci sia un meccanismo esplicito da delegare. Nel mondo OAuth questo è on-conto-di (anche se non sono sicuro di quanto sia diffuso viene usato o accettato al di fuori delle tecnologie Microsoft).

Il pubblico non si applica qui perché il pubblico impone quale servizio ti è permesso comunicare, non da. Affinché ciò venga bloccato il token deve comprendere modi per autenticare il client e il client deve autenticare il servizio utilizzando un meccanismo separato.