Domande con tag 'jwt'

domande con tag
0
risposte

Come memorizzare / elaborare in modo sicuro la chiave segreta per JWT

Dopo aver letto questo: link , su come memorizzare" chiave segreta "per assegnare i token JWT. Ho avuto domande di sicurezza. I miei dati (messaggi, nome utente, ecc.) Verranno crittografati (nel database) e solo gli utenti autorizzati potranno...
posta 22.06.2016 - 16:05
1
risposta

HMAC-SHA256 per firma token JWT

Attualmente sto lavorando in un'azienda in cui abbiamo la necessità di progettare un sistema di autenticazione basato su token. Saremo proprietari e controllori di due server, uno dei quali è il server di autenticazione e l'altro il server delle...
posta 12.01.2018 - 15:28
1
risposta

Username e Password in JSON

Implementato un server REST per abilitare Autenticazione JWT con supporto a TLS (con un certificato autofirmato). Quando invio le credenziali al mio server REST con un plugin di firefox (RESTClient) e visualizzo le intestazioni HTTP con un...
posta 22.11.2016 - 11:07
1
risposta

Nascondere HMAC-SHA256 nel codice sorgente e nel file di configurazione

Avrebbe senso o fornire un vantaggio di sorta per rompere una chiave segreta HMAC-SHA256 in due componenti e nascondere un componente in un file di configurazione lato server applicabile e l'altro componente in (codice sorgente chiuso, lato serv...
posta 09.02.2018 - 20:26
2
risposte

autenticazione JWT o cookie?

Attualmente sto creando un sistema di accesso per il mio sito web. Per proteggere il servizio di accesso, dovrei utilizzare i token Web JSON e lo spazio di archiviazione HTML5, o dovrei usare il modo più vecchio di usare i cookie? Alcune di ques...
posta 25.11.2017 - 13:31
1
risposta

È sicuro generare JWT usando la chiave privata?

Attualmente sto creando un'API Rails utilizzando ruby-jwt come generatore di token di accesso. Scelgo RS256 (RSA + SHA256) come mio algoritmo. ruby-jwt utilizza la chiave privata per codificare i payload e utilizza la chiave pubblica per deco...
posta 12.06.2016 - 10:04
1
risposta

In che modo è sicuro utilizzare un endpoint per le chiavi pubbliche?

OpenID Connect ha endpoint di scoperta contenenti un endpoint JKWS per ottenere chiavi pubbliche per la convalida Token di identità e accesso. Quindi ad esempio: Ho un'applicazione desktop che ottiene un token di identità dallo STS l'...
posta 03.06.2016 - 18:03
1
risposta

Non convinto sulla sicurezza di un token JWT Token + CSRF

Supponiamo che abbia un'applicazione Web che utilizza token JWT e token CSRF nel suo schema di autenticazione. A quanto ho capito, funziona così: Quando un utente effettua l'accesso, il client invia una richiesta di accesso. Server impos...
posta 30.11.2018 - 00:29
1
risposta

Amazon AWS KMS - Concetto di firma in generale e con JWT

Esame di Amazon AWS KMS (Key Management System). Sono confuso poiché i metodi esposti tramite le API di Amazon AWS sono solo per crittografare e decodificare ( collegamento ). Tuttavia, voglio firmare i dati (in particolare JWT). Le mie do...
posta 27.06.2018 - 08:58
1
risposta

MQTT senza TLS: impedisce la pubblicazione di messaggi da dispositivi non autenticati

Ho un caso d'uso in cui non sono in grado di utilizzare MQTTS / TLS a causa del vincolo sui dispositivi. Il nostro piano è di eseguire l'autenticazione durante MQTT CONNECT , passando un token JWT come password. Se capisco correttamente M...
posta 05.09.2018 - 12:40