دو نوع JWT وجود دارد: JWS: Payload در "متن ساده" است و امضایی برای تأیید محتویات آن دارد. JWE: بار کامل کاملاً رمزگذاری شده است. اینها استفاده کمی متفاوت دارند. موارد اگر تمام کاری که شما باید انجام دهید اینست که تأیید کنید که داده های ذخیره شده در JWT صحیح است و با آنها…
احراز هویت – چگونه می توان سرورهای کم کاربر را بدون به اشتراک گذاشتن داده های مخفی تأیید کرد؟
زمینه: این معماری سکو است که من روی آن کار می کنم: API دارای چندین نقطه پایانی امن برای دسترسی به پایگاه داده است. کاربران با اعتبار خود در Front End وارد می شوند و در صورت اعتبار ، API یک Json Web Token (JWT) را برمی گرداند. JWT با استفاده از یک کلید متقارن…
کوکی ها – خطرات امنیتی سرقت شناسه جلسه در مقابل تأیید هویت توکن
من از بحث درباره این سؤال SO و همچنین پست وبلاگ همراه من را تحت تأثیر قرار داد. من در حال تلاش برای درک بهتر مکانیک این دو سیستم هستم ، و یکی از سؤالاتی که من مطرح کردم این است که بدتر بودن شناسه سرقت شده در مقابل شناسه جلسه ، چقدر بدتر است؟…
چرا JWT به سه قسمت محدود شده با نقطه تقسیم شده است؟
یک توکن وب JSON (JWT) به سه قسمت رمزگذاری شده با پایه 64 تقسیم می شود ، که توسط دوره ها ("" ") جمع می شوند. دو قسمت اول اشیاء JSON را رمزگذاری می کنند ، بخش اول سرصفحه ای است که الگوریتم امضا و هشن را شرح می دهد و بخش دوم حاوی ادعاها…
احراز هویت – داشتن JWT که منقضی نمی شود
به Security.SE خوش آمدید. بیایید یک قدم عقب برداریم و ابتدا موضوعات سطح بالاتر را پوشش دهیم که امیدوارم آنچه را که شما به دنبال آن هستید توضیح دهید. پاسخ کوتاه این است: نشانه های طولانی مدت خطرناک هستند. Session Management جلسه استاندارد ، تهیه کوکی با توکنی که سپس در بانک اطلاعاتی یا سرور…