Domande con tag 'jwt'

3
risposte

Token Web JSON: perché il carico utile è pubblico?

Non riesco a capire il ragionamento per rendere pubblicamente visibili le richieste / il carico utile di una JWT dopo la decodifica di base64. Perché? Sembra che sarebbe molto più utile averlo crittografato con il segreto. Qualcuno può...
posta 27.04.2015 - 06:44
1
risposta

I microservizi dovrebbero essere utenti?

Stiamo cercando di determinare il modo migliore per autorizzare gli utenti in un'architettura di microservizio, garantendo al contempo che i microservizi abbiano autorizzazioni limitate. La nostra architettura utilizza un servizio di autorizzazi...
posta 28.10.2017 - 11:35
2
risposte

cookie vs. sessione vs jwt

Sto leggendo su autenticazione / autorizzazione nelle applicazioni web. Qualcuno potrebbe confermare / correggere le mie attuali conoscenze? Cookie: nella loro versione precedente, un file di testo con un ID client univoco e tutto il resto...
posta 03.09.2017 - 09:07
2
risposte

Come gestisci la scadenza JWT per le chiamate di lunga durata?

Attualmente discutiamo sulla sicurezza dei nostri multipli micro-servizi. La principale preoccupazione è che il token JWT fornito a noi scadrà prima che la chiamata sia finita. (Questo è nel design sincrono) Ecco tre proposte: L'app client h...
posta 19.02.2018 - 04:32
1
risposta

Le autorizzazioni di accesso e i ruoli dovrebbero essere inclusi nel carico utile di JWT?

Le informazioni sulle autorizzazioni e i ruoli del cliente dovrebbero essere incluse in JWT? Avere tali informazioni nel token JWT sarà molto utile in quanto ogni volta che arriva un token valido, sarebbe più facile estrarre le informazioni s...
posta 25.06.2018 - 09:50
2
risposte

L'ID dovrebbe essere indicato nell'URL se già protetto con ID JWT?

Dire che ho gli endpoint: /users e /users/<id> Se volevo CANCELLARE un utente autenticato con un token JWT che contiene l'oggetto utente, se questo ELIMINA gestito dovesse andare sotto /users o /users/<id> ? È r...
posta 08.12.2017 - 17:40
1
risposta

È una cattiva pratica memorizzare l'email di un utente in un JWT?

Uso JWT per l'autenticazione dell'utente in un'applicazione web. Ho un utente db in cui l'ID univoco di ciascun utente è la sua email. Per identificare l'argomento del JWT, attualmente ho un reclamo che memorizza l'e-mail dell'utente nel token....
posta 07.09.2017 - 06:12
1
risposta

Che cosa significa "collisione nome reclamo" nel contesto di JWT?

Recentemente, ho letto il JWT " RFC e sto avendo qualche difficoltà a capire il significato di < em> collisione riguardante i nomi dei reclami . I nomi dei reclami registrati sono più o meno chiari. Se ho capito bene, questi sono indiriz...
posta 08.09.2017 - 09:41
2
risposte

Dovremmo conservare i JWT nel database?

Durante la creazione / assegnazione dei JWT agli utenti, dovremmo anche archiviarli nei nostri database? I negativi / gli svantaggi dell'archiviazione dei token nel database sarebbero, che tutti i dati nel payload del token JWT sono già memor...
posta 25.06.2018 - 15:19
1
risposta

Differenza tra "aud" e "iss" in jwt

Voglio implementare un servizio di autenticazione più robusto e jwt è una grande parte di ciò che voglio fare, e capisco come scrivere il codice, ma sto avendo un po 'di problemi a capire la differenza tra le risorse riservate iss e...
posta 05.09.2017 - 03:20