Domande con tag 'jwt'

domande con tag
1
risposta

È sicuro aggiornare un token di autenticazione JSON Web Token (JWT) utilizzando le credenziali dell'utente?

Come comprendo le risposte a questa domanda JWT: l'aggiornamento di un token scaduto è una buona strategia? , si dovrebbe usare un token di aggiornamento per aggiornare un token di autenticazione in scadenza. Dato che la mia app Web dovrebbe...
posta 24.04.2016 - 12:01
2
risposte

Quali scenari traggono davvero beneficio dai JWT firmati?

UPDATE : ho concluso la mia ricerca su questo problema e pubblicato un lungo post di blog che spiega i miei risultati: The Unspoken Vulnerability of JWTs . Spiego come la grande spinta all'uso dei JWT per l'autenticazione locale stia tralasc...
posta 05.06.2016 - 02:26
2
risposte

Come gestire i token di aggiornamento

Sto provando a racchiudere l'autenticazione basata su JWT (JSON Web Token) per la protezione degli endpoint API utilizzando i token di accesso. Sto proteggendo questi endpoint richiedendo all'utente di avere un token di accesso valido per ottene...
posta 30.09.2018 - 13:47
1
risposta

Come impedire l'aggiornamento di un token di accesso rubato

Lo scenario è: hai un token di aggiornamento che è valido per un periodo di tempo più lungo e un token di accesso che è valido per un periodo di tempo più breve. Il setup: c'è un client, un application server e un server di autenticazione....
posta 11.05.2018 - 09:35
2
risposte

Flusso di lavoro di protezione JWT e CSRF

Ho uno schema di autenticazione e autorizzazione personalizzato basato su tre token JWT: token di riferimento (opaco), token di accesso e token di aggiornamento. Il backend imposta il token di riferimento in un cookie e lo invia ad ogni richiest...
posta 29.08.2017 - 12:50
1
risposta

Utilizzo di Simple JWT per Public Fa API Auth

Sto guardando i metodi di sicurezza per le API. Utilizzando i token di accesso JWT dopo l'accesso del client con l'utente / password, funzionerà bene per le app Web interne utilizzando le nostre API. Tuttavia, sto valutando come proteggere le no...
posta 19.05.2017 - 04:19
1
risposta

JWT: una soluzione per far scadere il token dopo un certo periodo di inattività?

Ho una webapp senza stato che usa un token JWT. Alla fine scadrà, il che è OK, ma non voglio che scada mentre l'utente sta lavorando . Invece, vorrei che il token scada dopo un certo periodo di inattività. Diciamo che il mio token è valido...
posta 03.08.2017 - 16:57
1
risposta

Gestione della scadenza del token jwt

Ho un backend nodejs basato su koajs per la mia app personale / hobby. Ho implementato la gestione delle sessioni con i token jwt. Ora il client ottiene il suo token dopo una corretta autenticazione di login, quindi il mio client angularjs memor...
posta 03.10.2016 - 08:50
1
risposta

JSON Web Token Security RSA

Stiamo pianificando di utilizzare JWT (token Web JSON) in un progetto di applicazione, ovvero un insieme di più servizi Web distribuiti che consentono l'autenticazione SSO (Single Sign-On). Quindi esiste un unico server di identità centrale che...
posta 08.05.2016 - 13:08
2
risposte

Quanto è sicuro utilizzare l'applicazione Web basata su JWT su un computer condiviso?

Considerando che ho un'applicazione web basata su JWT, che non controlla JWT rispetto ad alcuni database (il che, a mio modo di vedere, ha reso nullo l'utilizzo di JWT poiché qualsiasi stringa casuale avrebbe reso lo stesso). Il timeout JWT è ab...
posta 15.11.2016 - 15:47