Domande con tag 'jwt'

domande con tag
3
risposte

TLS per proteggere l'autenticazione HTTP di base

L'autenticazione di base, inclusi i token bearer, dipendono dall'uso di TLS per impedire agli intercettatori di ottenere credenziali o token sensibili. Ma penso che ci sia un elefante nella stanza di cui nessuno parla. Gli utenti spesso digit...
posta 04.10.2016 - 14:52
2
risposte

Token di accesso JWT e token di aggiornamento

Abbiamo due applicazioni App1 e App2. Un utente utilizza un browser per comunicare con le app. App1 supporta un'autenticazione diversa. meccanismi (SSO, usr / pwd, ecc.) ma App2 non ha accesso ai dati di autenticazione e non supporta alcuna aute...
posta 02.02.2018 - 17:15
2
risposte

Capire cosa proteggere con JWT

Quindi ho scritto una domanda fittizia, un modulo di login scritto in angular2, che registra il nome utente e la password su un'API di resto, se le credenziali sono corrette, l'API restituisce un JWT (codificate nel JWT sono varie autorizzazioni...
posta 19.12.2016 - 16:10
1
risposta

Implementazione di un token stateless personalizzato

Normalmente userei JWT quando è richiesta l'autenticazione stateless, ma stavo pensando a un semplice sistema token. Che creerà un token durante l'autenticazione di un utente e quindi memorizzerà quel token in una tabella SQL con payload e data...
posta 31.05.2018 - 21:50
1
risposta

OAuth2 JWT Crittografia per token con ambiti a più server di risorse

Nel contesto di una distribuzione OAuth2, vorrei concedere a un client un JWT crittografato che abbia scopi diversi da diversi server di risorse e possa essere decifrato da ciascun server di risorse indipendentemente dal server di autorizzazione...
posta 12.04.2016 - 09:59
1
risposta

La protezione CSRF è necessaria per le richieste GET

Ho un'API REST che consente agli utenti autenticati di leggere i dati sul proprio account e apportare modifiche ai propri account. Per l'autenticazione, utilizzo JWT memorizzati come cookie httpOnly. Per proteggersi dagli attacchi CSRF, l'API RE...
posta 17.08.2018 - 17:06
1
risposta

Doppio invio domande sull'implementazione dei cookie

Ho letto la domanda Double Submit Cookies e mentre risponde un sacco di domande sono ancora un po 'confuso. Ho dato un'occhiata a questo repo: link Il riepilogo di questa implementazione è che nella richiesta autenticata inviano un tok...
posta 12.10.2017 - 19:47
2
risposte

Importanza di un breve termine di scadenza su JWT

Al momento utilizziamo token Web JSON per l'autenticazione per l'API del nostro sito Web. Utilizziamo token di accesso di durata breve di 1 ora che vengono aggiornati mediante un token di aggiornamento revocabile permanente. Ora vogliamo aggiun...
posta 18.02.2018 - 21:24
1
risposta

Traduzione OAuth Token (Opaque to JWT)

Ho visto un paio di discorsi che suggerivano l'uso della traduzione di token OAuth al gateway API dal token opaco al token JWT. Quali sono i vantaggi e gli svantaggi di questo approccio, chi dovrebbe usarlo? Se utilizziamo HTTPS, non penso ch...
posta 25.04.2017 - 10:02
2
risposte

Utilizzo di JTWs nell'implementazione OAuth

Attualmente sto creando un'API con cui comunicare un'app. Gli endpoint di API verranno protetti, quindi mi piacerebbe utilizzare un flusso OAuth con JWT per la sicurezza. Il mio flusso andrà in questo modo: Ricevi e convalida le credenziali...
posta 23.11.2016 - 01:20