Domande con tag 'jwt'

domande con tag
1
risposta

Come funziona l'autorizzazione dopo l'autenticazione usando OpenID Connect

Supponiamo che un client ottenga un token ID e acceda al token dal server di autenticazione dopo l'autenticazione riuscita. Il client ora invia una richiesta al server delle applicazioni (la richiesta contiene token di accesso e token ID). A mio...
posta 26.09.2018 - 11:30
1
risposta

Come utilizzare Oauth2 e JWT per proteggere l'architettura dei microservizi?

Abbiamo studiato il meccanismo appropriato per proteggere i microservizi che forniremo come endpoint API tramite l'applicazione di gestione API. Fondamentalmente abbiamo bisogno di un meccanismo di sicurezza stateless come JWT per proteggere...
posta 24.08.2018 - 06:24
3
risposte

Algoritmi asimmetrici consigliati per JWT?

Sto implementando l'autenticazione JWT per un nuovo servizio web e sono incerto sull'algoritmo asimmetrico da scegliere. Ho cercato in giro e non ho trovato alcun consenso o raccomandazioni chiare. Secondo i documenti PyJWT ci sono alcuni algo...
posta 01.10.2018 - 08:00
2
risposte

codifica JWT utilizzando HMAC con chiave asimmetrica come segreto

Al momento sto sfruttando la vulnerabilità discussa qui link Dove l'algoritmo digita JWT può essere cambiato da RSA a HMAC e firma il token con una determinata chiave pubblica. Tuttavia, ho scritto il seguente codice Python: import...
posta 07.06.2018 - 13:41
1
risposta

Vulnerabilità del token Web JSON con HMAC e RSA

Attualmente sto imparando una vulnerabilità che sfrutta un token web JSON che è discusso qui Sebbene io abbia compreso la natura del bug e come possa essere abusato dagli aggressori, non sono riuscito a capire come sfruttarlo. Ho letto molt...
posta 05.06.2018 - 13:01
1
risposta

Quanto tempo dovrebbe essere valida una JWT in un servizio conforme a PCI-DSS?

Esiste un valore massimo applicato o raccomandato da PCI-DSS per la scadenza dell'accesso e l'aggiornamento del JWT? Se non applicato, qual è il valore appropriato per evitare problemi durante gli audit?     
posta 23.02.2018 - 19:59
1
risposta

È sufficiente memorizzare un ID utente in JWT per verificare l'identità?

Ho pensato di provare JWT come alternativa all'autenticazione basata sulla vecchia sessione per motivi di prestazioni (ovvero nessuna ricerca SQL aggiuntiva per l'ID di sessione nel database solo per ottenere l'id utente per ogni richiesta HTTP)...
posta 06.05.2018 - 18:30
1
risposta

In che modo i servizi in background eseguono l'autenticazione Api basata su token?

Sto implementando l'autenticazione basata su token JWT per la nostra WebAPI al fine di limitare l'accesso ai dati tramite l'API (ad esempio, il client invia nome utente / password e l'API fornisce un token jwt valido per x ore). Al momento abbia...
posta 22.09.2017 - 03:36
1
risposta

Memorizzazione di Username in sessionStorage: cattiva idea?

Sto lavorando all'applicazione React-Django che utilizza JWT per l'autenticazione. L'utente accede con nome utente e password, il server convalida e risponde con JWT e nome utente e (attualmente) sto memorizzando solo il JWT in sessionStorage...
posta 10.11.2017 - 18:21
1
risposta

Token di sicurezza per l'esposizione esterna: UUID o HMAC / JWT / hash?

Sto costruendo il back-end per un'app web. Quando un nuovo utente accede al sito e fa clic sul pulsante Iscriviti , verrà compilato un modulo super semplice chiedendo loro il nome utente + la password e invieranno. Questo richiede al server di...
posta 09.01.2018 - 16:13