Domande con tag 'jwt'

domande con tag
1
risposta

Token CSRF per un sistema JWT-auth che utilizza i cookie

Penso di averlo risolto, ma mi piacerebbe sentire se sbaglio. Abbiamo un insieme di app Python + Angular.js, che utilizzano token JWT per l'autenticazione, in cui i token vengono crittografati utilizzando una chiave segreta, il payload identific...
posta 28.12.2016 - 23:47
1
risposta

JWT vs Sessioni

Ho un'applicazione PHP, attualmente è molto dipendente da Sessions. Sto cercando di rimuovere la maggior parte, se non tutti, l'utilizzo della sessione da esso. Quando si tratta di loggare un utente in. Ho alcune scelte, continua a utiliz...
posta 31.10.2016 - 02:30
1
risposta

RSA formato JWK e significato dei parametri

In RFC 7571 ho scoperto come dovrebbe essere RSA JWK: {"kty":"RSA", "n":"0vx7agoebGcQSuuPiLJXZptN9nndrQmbXEps2aiAFbWhM78LhWx4 cbbfAAtVT86zwu1RK7aPFFxuhDR1L6tSoc_BJECPebWKRXjBZCiFV4n3oknjhMst n64tZ_2W-5JsGY4Hc5n9yBXArwl93lqt7...
posta 21.08.2017 - 10:07
1
risposta

Perché OpenID Connect ("OIDC") usa una richiesta "nonce" invece del claim "jti" registrato

Secondo le specifiche , OpenID Connect utilizza nonce come reclamo registrato nome, ma RFC 7519 include già un reclamo registrato denominato jti per questo stesso scopo. Era una svista, o c'era qualcosa di sbagliato nel modo in...
posta 21.06.2018 - 01:33
1
risposta

È un refresh token nessesary con HTTPS

Comprendo appieno i vantaggi del token di aggiornamento nel caso in cui il token di accesso venga compromesso. Invio il token di accesso JWT al server solo tramite HTTPS per un'applicazione mobile e un'applicazione web che richiede un accesso...
posta 05.07.2017 - 14:34
2
risposte

Forza bruta HMAC SHA256 (HS256) equivale a interrompere la firma del token Web JSON?

Il formato del token Web JSON è: codificato (intestazione). codificati (payload). firma con un segreto (ad esempio, usa sha256 per firmare). In caso di JWT hmac sha256 (HS256), se il segreto non è lungo e abbastanza complesso (ad esempio...
posta 23.02.2017 - 09:43
1
risposta

Mi mancano alcune lacune con la mia attuale gestione delle sessioni?

Sto costruendo un sito con Spring, che richiede l'autenticazione per accedere ad alcune pagine. Il sito è in realtà composto da un host client, che esegue il rendering delle viste e gestisce l'associazione dati e un host RIP API (creato anche...
posta 28.03.2017 - 21:17
1
risposta

problema di dimensioni token JWT

Sto sviluppando un'applicazione a pagina singola che interagisce con un servizio basato su oAuth. Questo servizio concede i token JWT (aggiornamento e accesso) per molte risorse. Potenzialmente il numero di token può essere compreso tra 2 e 100....
posta 07.12.2016 - 11:30
1
risposta

Quando OpenID Connect restituisce JSON?

Mentre OAuth2 non definisce esplicitamente quale tipo di token usare, OpenID Connect definisce un'API e un formato dati per eseguire i flussi di autorizzazione OAuth2. Quali sono le occasioni in cui viene restituito un JWT in OpenID Connect?...
posta 02.02.2017 - 19:41
1
risposta

Cifra un corpo invece di firmarlo (con JWT per esempio)

Quale sarebbe il problema se criptassi "claims / body / data" e lo invio all'utente, quindi quando l'utente mi invia questo token crittografato, lo decrypt lo considero attendibile e agisco sui dati in (Se è decifrabile usando una chiave segreta...
posta 24.04.2018 - 17:22