Domande con tag 'jwt'

domande con tag
2
risposte

AWS Signature V4 vs OAuth + gettoni del portatore JWT

Per proteggere le API REST, una scelta logica per il controllo degli accessi è JWT da sola o in combinazione con OAuth. Se mi interessa solo autenticare il chiamante, verificare una firma JWT è sufficiente da solo. Se mi interessa anche dell'aut...
posta 29.06.2017 - 17:54
1
risposta

La JWT è presente nei cookie con qualsiasi soluzione CSRF altrettanto vulnerabile all'XSS di JWT in localStorage?

Ho letto che i token JWT non devono essere memorizzati in localStroage perché gli attacchi XSS possono leggerli. La soluzione proposta è di memorizzare i token JWT nei cookie HTTPOnly e utilizzare i cookie anti-CSRF con doppio invio. OWASP dice...
posta 11.04.2016 - 20:23
1
risposta

Autenticazione con JWT

Sto costruendo SPA (React / Redux) e ho bisogno dell'autenticazione dell'utente. Ho trovato discussioni simili, ma non ho trovato risposte alle domande che ho delineato di seguito. Ecco alcune opzioni che ho trovato per implementare: Opzione...
posta 15.05.2018 - 08:11
1
risposta

La chiave segreta per HMAC sotto forma di caratteri UTF8 è sufficiente?

C'è una popolare libreria JWT su nuget. Sto analizzando un'applicazione che utilizza quella libreria e memorizza una chiave segreta come una stringa. Nel codice della libreria vedo che utilizza MS HMACSHA256 che accetta l'array di byte come ch...
posta 08.02.2016 - 12:49
1
risposta

Aggiorna i token in OAuth2 con JWT

Sto cercando di implementare il flusso del proprietario delle risorse OAuth2. Il mio server di autorizzazione genera correttamente token web JSON, quindi il prossimo passo è implementare i token di aggiornamento per la mia applicazione web. T...
posta 05.12.2015 - 13:20
1
risposta

Aggiorna i token con le SPA

Abbiamo lavorato con ZPS che POST attraverso le credenziali all'API e riceviamo indietro un JWT (token di accesso) e un token di aggiornamento. I token sono memorizzati, a seconda del "keep me logged in", nella memoria di sessione o nella m...
posta 20.02.2018 - 21:04
1
risposta

Garantire che una stringa casuale in un cookie e un'intestazione siano la stessa cosa da proteggere contro XSRF?

In uno schema cookie-to-header di invio dei token xsrf / csrf , il server imposta un numero pseudo-casuale crittograficamente sicuro come cookie nella macchina del client. Il codice di script java sul computer client è tenuto a leggere questo...
posta 29.10.2017 - 02:52
2
risposte

Dovrei controllare se il token è valido ogni volta che un utente naviga sulla mia app?

Ho una singola pagina di applicazione (SPA) che comunica con un'API. Ho creato un sistema di autenticazione molto semplice: l'utente accede e ottiene un token Web JSON (JWT) archiviato nella memoria locale dell'utente. Ho anche un endpoint su...
posta 25.11.2017 - 19:09
2
risposte

Procedura consigliata per l'archiviazione del lato client del token di autenticazione

Sto costruendo un sistema separato frontend / backend in cui l'utente 2FA esegue l'autenticazione e restituisce un JWT al lato client. Sto usando angolare e per ora conservo quel token in $ window.sessionStorage e lo includo nell'intestazione...
posta 08.01.2017 - 02:29
1
risposta

Replay l'esempio di attacco per convalidare il nonce?

Sto tentando di convalidare un token JWT ricevuto da Windows Azure. Sto seguendo la documentazione qui: link Quando richiedi un token, Azure ti fornisce un nonce e il token JWT restituito contiene il nonce che hai inviato e devi assicurarti...
posta 17.05.2016 - 16:56