Domande con tag 'jwt'

2
risposte

Un utente è in grado di visualizzare il proprio UID come un rischio per la sicurezza?

Lavorando su un'app Web con un sistema di autenticazione token, mi chiedo se concedere a un utente l'accesso per visualizzare il proprio ID utente, un rischio per la sicurezza? Non sarà visibile facilmente, dovranno prima fare alcuni cookie....
posta 06.12.2017 - 07:10
1
risposta

Segnalazioni dei token Web JSON. Dove inserisco un nome utente

Sto usando JWT per verificare gli utenti. Di conseguenza, ho bisogno di creare un token web json che contenga le seguenti informazioni: username, mycompany e data di scadenza. Nello standard JWT ci sono rivendicazioni riservate come l'emittente...
posta 04.12.2015 - 08:35
3
risposte

Il token JWT deve essere memorizzato in un cookie, un'intestazione o un corpo

Qual è il modo più sicuro per archiviare il trasferimento e archiviare un token JWT o qualsiasi token di autenticazione in generale? Qualcuno mi ha detto che è sicuro inviare il token di autenticazione come cookie, ma non capisco come ciò for...
posta 20.07.2016 - 19:34
2
risposte

Cracking di una firma JWT

Sto testando un'API che utilizza JWT per l'autenticazione. Questo JWT ha una firma HS256 per impedire la modifica. Ho pensato che se ho determinato la chiave segreta utilizzata in questa firma, posso creare i miei JWT personali. Come posso decif...
posta 18.08.2016 - 09:25
3
risposte

Questo flusso di autenticazione senza password è sicuro?

Vorrei implementare un flusso di autenticazione senza password per la mia app per dispositivi mobili che richiede solo un utente che fa clic su un link nella sua e-mail per accedere. Simile a come Slack gestisce auth. Utilizzerò node e jw...
posta 17.11.2018 - 19:03
1
risposta

Perché dovrei fidarmi di un JSON Web Token (JWT)?

Nei modelli di autenticazione SAML e Kerberos, esiste una comprensione esplicita dell'autorità che ha autenticato l'utente e ha rilasciato le credenziali per essere considerate affidabili dai sistemi a valle. Ai fini della propagazione dell'iden...
posta 12.10.2015 - 17:33
2
risposte

È sicuro utilizzare un meccanismo di autorizzazione stateless in cui la password di cancellazione è memorizzata sul portachiavi?

È sicuro utilizzare il seguente meccanismo di autorizzazione stateless tra un client (iOS e Android) e un server? Registrati Il client fornisce un'email e una password e salva la password di cancellazione sulla Keychain di iOS e...
posta 20.06.2018 - 13:28
2
risposte

È sicuro memorizzare un JWT in sessionStorage? [duplicare]

Questo articolo di Auth0 consiglia di archiviare il JWT localmente in una memoria locale (o cookie). Ma questo articolo di OWASP consiglia di non pubblicare alcun dato sensibile localmente (nemmeno sessionStorage) Quindi, è sicuro memor...
posta 09.02.2018 - 22:00
2
risposte

JWT o chiavi pubbliche-private per il servizio di servizio delle chiamate API

Sto cercando di configurare l'autenticazione tra due servizi applicativi. Il servizio A chiamerà il servizio B e desidero che il servizio B accetti solo le chiamate (http) dal servizio A, da nessun'altra parte. So come funziona l'autenticazio...
posta 09.03.2018 - 09:03
2
risposte

Cosa devo usare per l'autenticazione per la mia API di Django Rest?

Ho appena letto questo articolo sul perché JWT fa schifo. Ora sono incerto su cosa dovrei usare per l'autenticazione. Per contesto: l'API che ho scritto è utilizzata principalmente dalle app mobili (iOS e Android). In futuro sarà anche acce...
posta 29.04.2018 - 17:16