Un servizio di terze parti può fare affidamento su JWT per l'autorizzazione

2

Sto usando JWT per l'autenticazione in un'architettura di micro-servizi. Sono presenti 1 app Web UI e più servizi REST API esposti nel back-end. Sto prendendo in considerazione un servizio IAM che fornirà un JWT all'IU con informazioni sui permessi. L'interfaccia utente può utilizzare questo per contattare un altro servizio Micro X. Ma in questo caso X deve contattare X per convalidare o, dal momento che è autonomo, X deve andare avanti con la richiesta?

Nota che gli utenti possono disconnettere le loro sessioni in IAM.

    
posta TechCrunch 06.04.2017 - 20:19
fonte

1 risposta

3

X dovrebbe controllare la firma e la scadenza sul token di autenticazione JWT e non contattare direttamente il server di autenticazione

Il logout aggiunge una piega al problema poiché l'utente potrebbe aver effettuato il logout prima della data di scadenza sul token.

Ma il token di autenticazione dovrebbe avere una scadenza breve (1/2 minuti). Limitazione del problema di un hacker che utilizza un token intercettato.

Il token di aggiornamento dovrebbe avere una scadenza più lunga ma SOLO essere inviati al server di autenticazione per generare nuovi token di autenticazione

    
risposta data 07.04.2017 - 04:38
fonte

Leggi altre domande sui tag