tokens de acceso JWT: ¿Demasiada información?

Question

tokens de acceso JWT: ¿Demasiada información?

#1 de Steve (2 votos)

1

Recientemente he encontrado la práctica de sistemas que utilizan JWT como tokens de acceso. Tengo una preocupación y no estoy seguro de si es infundado:

Asocio JWTs con el protocolo OpenID Connect, donde se usan como tokens de identificación. Ellos tienen en la audiencia prevista. Se supone que los reclamos en ellos son solo para esa audiencia. Por ejemplo, me puede alegrar que un público tenga mi número de teléfono pero no otro.

Por otro lado, un token de acceso opaco no contiene nada más que mi permiso para acceder a un recurso. Se trata de la delegación; ese token puede viajar de forma segura de un sistema a otro y me lo autoriza (¿confirmar?).

Sin embargo, si utiliza efectivamente un token de ID como un token de acceso, no solo está pasando mi permiso para acceder a un recurso, sino que también está pasando detalles sobre yo .

¿He malinterpretado algo o debería ser una preocupación real?

oauth openid-connect oauth2

pregunta Andy N 05.12.2018 - 11:33

fuente

1 respuesta

Lea otras preguntas en las etiquetas oauth openid-connect oauth2

Almacenamiento seguro de claves privadas generadas en el servidor con la contraseña específica del usuario ¿Cuándo puede ser un problema cerrar el puerto 80?

score 2 · Accepted Answer

Todo depende de si el RP realmente necesita la información provista en el token para evaluar los permisos.

Es posible que tenga problemas de privacidad si se trata únicamente de información de identificación. El hecho de que sea un token de uso dual es problemático, pero si esto realmente plantea un problema debe evaluarse caso por caso.

Editar: la delegación de permisos es una capacidad desafortunada porque estos tokens son a menudo tokens portadores: quien tenga el token puede usar el token. No hay manera de separar este permiso del token, a menos que haya un mecanismo explícito para delegar. En el mundo de OAuth, esto es en nombre de (aunque no estoy seguro de su uso o aceptación fuera de las tecnologías de Microsoft).

La audiencia no se aplica aquí porque la audiencia dicta a qué servicio se le permite comunicarse, no desde. Para que esto se bloquee, el token debe incluir formas de autenticar al cliente, y el cliente debe autenticar el servicio mediante un mecanismo independiente.