Preguntas con etiqueta 'jwt'

preguntas con etiqueta
1
respuesta

Preocupación por la seguridad de la implementación del inicio de sesión único

Estoy intentando crear un sistema de inicio de sesión único que conecte las aplicaciones A a B y B a A. Desafortunadamente, la opción de usar OpenID / OAuth / SAML no es posible en este momento, por lo que estoy creando una solución básica. , as...
hecha 22.04.2018 - 04:57
0
respuestas

JWT como un nonce en backends sin sesión

Estoy creando un servidor de API (una puerta de enlace) con dos restricciones en mente: Tiene que estar sin sesión (no hay ID de sesión en una cookie ni en ningún sitio, ni Redis ni nada por el estilo) Tengo que usar una concesión implícit...
hecha 15.12.2017 - 18:53
0
respuestas

Combinando id_tokens y access_tokens para la nueva especificación de autenticación

Un mal uso común de OAuth2 es como un protocolo de autenticación estricto. OpenID Connect soluciona esto extendiendo OAuth2 para incluir un id_token . La implementación de clientes para OAuth2 y OpenID Connect es un proyecto monstruoso. El...
hecha 12.04.2016 - 16:35
0
respuestas

Confirmar la firma de JWT o hacer una llamada a la API (JWT vs. auth)

Dada una configuración en la que las credenciales de los usuarios se almacenan en un servidor, pero se llamará a los servicios web de clientes externos, ¿parece razonable lo siguiente? Cuando los clientes desean iniciar sesión, envían un no...
hecha 09.03.2016 - 21:53
1
respuesta

tokens CSRF para un sistema JWT-auth usando cookies

Creo que tengo esto ordenado, pero me encantaría escuchar si me equivoco. Tenemos un conjunto de aplicaciones Python + Angular.js, que utilizan tokens JWT para la autenticación, donde los tokens se cifran mediante una clave secreta, la carga úti...
hecha 28.12.2016 - 23:47
1
respuesta

JWT vs Sesiones

Tengo una aplicación PHP, actualmente es altamente dependiente de las sesiones. Estoy tratando de eliminar la mayoría, si no todo, el uso de la sesión. Cuando se trata de iniciar sesión en un usuario. Tengo algunas opciones, continuar usa...
hecha 31.10.2016 - 02:30
1
respuesta

Significado del formato y parámetros RSA JWK

En RFC 7571 encontré cómo debería verse RSA JWK: {"kty":"RSA", "n":"0vx7agoebGcQSuuPiLJXZptN9nndrQmbXEps2aiAFbWhM78LhWx4 cbbfAAtVT86zwu1RK7aPFFxuhDR1L6tSoc_BJECPebWKRXjBZCiFV4n3oknjhMst n64tZ_2W-5JsGY4Hc5n9yBXArwl93lqt7_RN5w...
hecha 21.08.2017 - 10:07
1
respuesta

¿Por qué OpenID Connect ("OIDC") usa un reclamo 'nonce' en lugar del reclamo registrado 'jti'

Según la especificación , OpenID Connect usa nonce como la reclamación registrada nombre, pero RFC 7519 ya incluye un reclamación registrada llamada jti para este mismo propósito. ¿Esto fue un descuido o hubo algún problema...
hecha 21.06.2018 - 01:33
1
respuesta

Es el token necesario para actualizar con HTTPS

Entiendo completamente los beneficios del token de actualización en el caso de que el token de acceso se vea comprometido. Envío el token de acceso JWT al servidor solo a través de HTTPS para una aplicación móvil y una aplicación web que nece...
hecha 05.07.2017 - 14:34
2
respuestas

Fuerza bruta HMAC SHA256 (HS256) es igual a romper la firma del token web JSON?

El formato del token web de JSON es: codificado (encabezado). codificado (carga útil). firma con un secreto (por ejemplo, use sha256 para firmar). En el caso de JWT seleccionado por hmac sha256 (HS256), si el secreto no es lo suficientem...
hecha 23.02.2017 - 09:43