Domande con tag 'jwt'

domande con tag
1
risposta

Sicurezza con sessioni senza scadenza

Le sessioni scadono in modo diverso su diversi luoghi sul Web: StackOverflow: non scade mai Twitter: non scade mai Facebook: non scade mai Striscia: scade dopo 30 minuti o un'ora circa Alcuni siti web bancari: scadono dopo 15 minuti...
posta 26.11.2017 - 05:45
1
risposta

Autenticazione JWT e schema di autorizzazione

Stavo passando per i documenti di Oauth2 e pensavo che fosse una sorta di sicurezza permissiva, quindi ho provato a implementare token JWT con uno schema speciale come nell'immagine per un'app mobile che comunica con un'API Web. Note: non mi...
posta 12.05.2016 - 23:28
1
risposta

Prevenzione degli attacchi di riproduzione con JWT

Attualmente sto costruendo un'API RESTful che verrà utilizzata per un'applicazione web e mobile. L'autenticazione all'API verrà effettuata utilizzando Token Web JSON . Quando utilizzi JWT, possiamo utilizzare il reclamo exp per scadere...
posta 27.11.2017 - 17:14
1
risposta

come viene mantenuta la sicurezza in sessione e JWT?

Utilizzo da molto tempo la sessione passport JS senza preoccuparmi seriamente dei problemi di sicurezza. Per il prossimo progetto ho pensato di sostituire session con JWT ma sorgono dubbi legati alla sicurezza mentre cerco di più...
posta 15.03.2018 - 15:21
1
risposta

Pensieri sulla mia implementazione JWT

Quindi ho cercato di imparare il più possibile sulla tokenizzazione JWT e auth0 sembra essere il vero hub di informazioni JWT. Tuttavia, più leggo sui token di aggiornamento, più mi cruccio: l'idea stessa di un "infinitamente" aggiornabile (o...
posta 08.04.2016 - 02:13
1
risposta

OAuth2 JWT Firma con OAuth2 Application Secret Key

Estratto (mi dispiace, questo è un boccone): Vorrei facilitare l'autorizzazione back-to-system tramite OAuth2 e JWT facendo uso del parametro 'aud' di JWT per specificare una risorsa specifica per un'applicazione (tramite una richiesta di c...
posta 05.01.2016 - 21:00
0
risposte

Come otteniamo una concessione al portatore di JWT con il pubblico richiesto?

In base alla specifica di concessione al portatore di OAuth JWT , un JWT valido deve avere una sorta di identificatore (può essere utilizzato l'endpoint del token) del server di autorizzazione di rilascio del token all'interno della rivendicazi...
posta 23.06.2016 - 00:34
1
risposta

Condivisione di token di accesso nell'intestazione della risposta?

Qual è il modo migliore per condividere i miei token di accesso ? Va bene condividerlo nell'intestazione come testo normale, oppure devo cercare ad es. JWT ? Flusso di lavoro corrente: -> POST /api/login -d {**creds} <- 201 [headers...
posta 09.12.2015 - 00:56
1
risposta

È sicuro usare jku, kid e x5u nell'intestazione JSON Web Signature (JWS)?

Non capisco quali parametri di intestazione come jku , kid , x5u sono per in JSON Web Signature (JWS). Dato che dobbiamo verificare l'integrità del contenuto rispetto a chiave segreta / chiave pubblica, è sicuro lasciare jku...
posta 22.03.2018 - 08:37
1
risposta

JWT è sicuro da usare come identificatore di sessione?

Stavo leggendo questo articolo e afferma che potrebbero esserci alcune vulnerabilità con JWT. Dall'articolo: There were two ways to attack a standards-compliant JWS library to achieve trivial token forgery: Send a header that spe...
posta 17.03.2017 - 19:53