Mi API REST puede entregar tokens web JSON a mi aplicación. Los tokens le dan la oportunidad a la aplicación de descargar archivos en una etapa posterior. Los archivos que se descargarán se identifican mediante un UUID.
El UUID del archivo se almacena en sub dentro del token. No quiero que se pueda usar un token en la naturaleza, por lo que solo cambio el token por una URL de descarga si el uuid también se envía como un parámetro a la API
Mis JWT están cifrados con H256.
La pregunta: ¿Se considera incorrecto incrustar una cadena conocida (el UUID) en el token cifrado?
Si es algo malo, ¿cuál es el concepto correcto de "vincular" un token a un determinado contexto externo?
Editar:
Después de escribir mi propia pregunta, creo que veo esto un poco más claro. Me encantaría saber de la experiencia sobre esto. Pero esta es mi opinión por ahora:
- El riesgo es probablemente pequeño, pero innecesario.
- Ya tengo el ID de usuario registrado en el token de descarga
- El ID de usuario también se envía con cada solicitud en otro token (el token de autenticación que se adquirió al iniciar sesión)
Por lo tanto, ya no enviaré el UUID como un parámetro de texto claro. En su lugar, enlace el token de descarga al usuario registrado comparando el ID de usuario del token de autenticación con el identificador de usuario en el token de descarga.
Más ediciones:
La pequeña pero esclarecedora pregunta de Elias "¿Qué es el cifrado H256" me hizo recordar que los JWT no están cifrados, sino que están firmados? También permitió que mi novato de seguridad Gloria brille a través de ...
Creo que estoy bien solo con la señalización, ya que no envío información confidencial en el token. Mi primera pregunta debe ser reformulada (he cambiado la pregunta).
¿Sería más fácil para alguien obtener mi clave de firma secreta si un UUID conocido estaba incrustado en la carga útil firmada?