Domande con tag 'jwt'

domande con tag
3
risposte

Una JWT è utilizzabile come token CSRF?

Ho bisogno di un token CSRF, per una determinata applicazione che invia un modulo con POST . Idealmente, mi piacerebbe non effettuare una chiamata DB per ogni invio, per evitare la memorizzazione e il traffico DB & latenza. A tal fine i...
posta 25.02.2016 - 19:48
2
risposte

Dove devo conservare i token di accesso OAuth2?

Sto creando un back-end API REST, per un'applicazione mobile. Nella nostra scelta progettuale, abbiamo deciso di consentire ai provider di OAuth2 di gestire la sicurezza di accesso. Tuttavia, non sono sicuro di quale sia la migliore pratica p...
posta 10.02.2016 - 13:15
2
risposte

Autenticazione senza stato con JWT: il token di aggiornamento non è stateless

Nella mia attuale architettura, il mio backend invia un JWT al client (mobile). La ragione principale per optare per un JWT è l'autenticazione stateless, cioè il server non ha bisogno di memorizzare i dati nella sessione / database, il che signi...
posta 11.06.2017 - 00:04
2
risposte

Access-control-allow-origin: * con un token al portatore

Durante il test di un'applicazione a singola pagina, ho identificato che gli endpoint REST restituiscono intestazioni CORS che consentono l'accesso tra domini: access-control-allow-credentials: true access-control-allow-methods: GET, POST, DEL...
posta 23.06.2016 - 16:47
2
risposte

Le patch XHR possono prevenire gli effetti collaterali XSS?

XSS & App per pagina singola Sto facendo ricerche sulla sicurezza Web e ho visto che l'autenticazione basata su token è utile per la prevenzione di CSRF, le architetture di sistema distribuite e le prestazioni di elaborazione. Ma u...
posta 05.06.2016 - 06:49
3
risposte

problemi di sicurezza nello storage JWT

Sto creando un meccanismo di accesso JWT per un sito. Ci sono due opinioni molto opposte su come conservare il JWT. Stormpath giura tramite cookie httponly: link Auth0 swear by localStorage: link All'inizio mi sono schierato con Auth0,...
posta 12.01.2017 - 13:41
3
risposte

Che cosa protegge una JWT dall'essere dirottata e utilizzata per rappresentare l'utente originale?

Ci scusiamo per questa domanda forse sciocca, sto solo imparando su JWT quindi ti prego di sopportare me ... Ho letto estensivamente i documenti del JWT, ma non capisco cosa impedisca a un hacker di dirottare il JWT e di fingersi l'utente per...
posta 04.10.2017 - 04:40
3
risposte

Utilizzo sicuro di JWT con protezione CSRF e token di aggiornamento

Sto implementando i JWT nella mia app e mi piacerebbe renderli il più sicuri possibile. Preparerò tutto ciò che sto pianificando, apprezzerei molto qualsiasi suggerimento sulla sicurezza di questa implementazione. Questo è il mio sito, ho pieno...
posta 13.08.2016 - 01:49
1
risposta

Perché vengono utilizzati i token di aggiornamento

Leggendo su JWT, vedo che è prassi comune includere un token di aggiornamento insieme al token di breve durata. Così comunemente sembra che tu abbia un token di breve durata che dura per un breve periodo di tempo, ad esempio 15 minuti, e un toke...
posta 08.03.2016 - 01:12
1
risposta

Qual è lo scopo del JSON Web Token (JWS) emesso nel campo "iat"?

RFC 7519 specifica un campo "iat" facoltativo, che indica quando è stato emesso un token. L'RFC fornisce un breve commento: This claim can be used to determine the age of the JWT. Qual è lo scopo del campo "iat"? Ad esempio, perché...
posta 08.01.2018 - 17:54