Preguntas con etiqueta 'jwt'

3
respuestas

¿Puedo evitar un ataque de repetición de mis JWT firmados?

He implementado una autenticación sin estado a través de HTTP en Laravel, usando JWTs. Envié mi nombre de usuario / contraseña desde la interfaz. El servidor autentica al usuario, devuelve un JWT firmado con un tiempo de caducidad. Estoy...
hecha 02.08.2014 - 18:13
4
respuestas

¿Es una buena estrategia actualizar un token JWT caducado?

Si entiendo las mejores prácticas, JWT generalmente tiene una fecha de caducidad que es de corta duración (~ 15 minutos). Entonces, si no quiero que mi usuario inicie sesión cada 15 minutos, debo actualizar mi token cada 15 minutos. Necesito...
hecha 03.04.2016 - 13:09
1
respuesta

¿Cómo evita JTI que se reproduzca un JWT?

De acuerdo con el RFC de JWT, un token de JWT puede tener opcionalmente un jti que interpreto como una ID única para un token de JWT. Parece que un UUID es un buen valor para un jti. La RFC afirma que la jti puede usarse para evitar que la JWT s...
hecha 30.05.2016 - 20:34
3
respuestas

¿Cuál es la diferencia entre JWT y cifrar algunos json manualmente con AES?

¿Cuál es la diferencia entre usar un token web JSON (JWT) y simplemente tener una clave AES y enviar y recibir un JSON cifrado del cliente? Por ejemplo, esto podría enviarse al cliente: AES256.encrypt(JSON.stringify({id: 5552, admin: true})...
hecha 21.02.2018 - 10:09
3
respuestas

¿Se puede usar un JWT como token CSRF?

Necesito un token CSRF, para una aplicación determinada que envía un formulario con POST . Idealmente, me gustaría no realizar una llamada de base de datos para cada envío, para evitar el almacenamiento y el tráfico de base de datos y amp;...
hecha 25.02.2016 - 19:48
2
respuestas

¿Dónde debo almacenar los tokens de acceso OAuth2?

Estoy creando un back-end de API REST para una aplicación móvil. En nuestra elección de diseño, decidimos dejar que los proveedores de OAuth2 se encarguen de la seguridad de inicio de sesión. Sin embargo, no estoy seguro de cuál es la mejor p...
hecha 10.02.2016 - 13:15
2
respuestas

Autenticación sin estado con JWT: el token de actualización no es sin estado

En mi arquitectura actual, mi backend emite un JWT de vuelta al cliente (móvil). La razón principal para optar por un JWT es la autenticación sin estado, es decir, el servidor no necesita almacenar datos en la sesión / base de datos, lo que sign...
hecha 11.06.2017 - 00:04
2
respuestas

Access-control-allow-origin: * con un token de portador

Al probar una aplicación de una sola página, he identificado que los puntos finales REST devuelven encabezados CORS que permiten el acceso entre dominios: access-control-allow-credentials: true access-control-allow-methods: GET, POST, DELETE,...
hecha 23.06.2016 - 16:47
2
respuestas

¿Pueden los parches XHR evitar los efectos secundarios de XSS?

XSS & Aplicaciones de una sola página Estoy investigando sobre seguridad web, y he visto que autenticación basada en token es buena para la prevención de CSRF, las arquitecturas de sistemas distribuidas y el rendimiento de procesamien...
hecha 05.06.2016 - 06:49
3
respuestas

problemas de seguridad en el almacenamiento JWT

Estoy creando un mecanismo de inicio de sesión JWT para un sitio. Hay dos opiniones muy opuestas sobre cómo almacenar el JWT. Stormpath jura por las cookies httponly: enlace Auth0 jura por localStorage: enlace Al principio me puse del...
hecha 12.01.2017 - 13:41