¿Cuál es la mejor manera de compartir mis tokens de acceso ? ¿Está bien compartirlo en el encabezado como texto sin formato, o necesito verlo por ejemplo? JWT ?
Flujo de trabajo actual:
-> POST /api/login -d {**creds}
<- 201 [headers (including X-Access-Token)]
-> GET /api/secrets -H 'X-Access-Token: ""'
El encabezado consiste actualmente en:
X-Access-Token: <scope>::<uuid>::<expires_in>::<state>
Si está haciendo esto para una identidad federada (una sola máquina / persona que usa múltiples servicios), use un sistema diseñado para eso.
La identidad federada es difícil de construir correctamente y es poco probable que sea lo suficientemente importante para que su empresa sea una competencia central que justificará mantener adecuadamente.
Recomiendo el uso de SAML 2.0 porque está ampliamente implementado y es compatible. Muchas implementaciones (incluyendo Shibboleth / OpenSAML) han sido exhaustivamente probadas por el lápiz.
JWT es muy similar a SAML, pero todavía está evolucionando y las inconsistencias en las implementaciones podrían hacer que sea frustrante implementar con éxito.
Ambos se basan en técnicas criptográficas de sonido y su implementación segura depende fundamentalmente de una administración de claves efectiva. El uso de una única clave privada para firmar las Asignaciones SAML o JWT por un período de tiempo excesivo, el volumen de aserciones / tokens, o después de la sospecha de compromiso de un sistema con acceso de clave de texto sin formato compromete la seguridad de todos los servicios federados.
Lea otras preguntas en las etiquetas authentication oauth authorization token jwt