Preguntas con etiqueta 'jwt'

1
respuesta

¿Me faltan lagunas con la gestión de mi sesión actual?

Estoy creando un sitio con Spring, que requiere autenticación para poder acceder a ciertas páginas. El sitio en realidad está compuesto por un host cliente, que representa las vistas y maneja el enlace de datos, y un host de API REST (también...
hecha 28.03.2017 - 21:17
1
respuesta

problema de tamaño de tokens JWT

Estoy desarrollando una aplicación de una sola página que interactúa con un servicio basado en oAuth. Este servicio otorga tokens JWT (actualización y acceso) para una gran cantidad de recursos. Potencialmente, el número de fichas puede estar en...
hecha 07.12.2016 - 11:30
1
respuesta

¿Cuándo OpenID Connect devuelve JSON?

Mientras que OAuth2 no define explícitamente qué tipo de token usar, OpenID Connect define una API y un formato de datos para realizar los flujos de autorización de OAuth2. ¿En qué ocasiones se devuelve un JWT en OpenID Connect?     
hecha 02.02.2017 - 19:41
1
respuesta

Cifrar un cuerpo en lugar de firmarlo (con JWT por ejemplo)

¿Cuál sería el problema si cifro el "reclamo / cuerpo / datos" y lo envío al usuario, luego, cuando el usuario me envía este token cifrado, lo descifro, confío en él y opero los datos en (Si es descifrable usando una clave secreta). Básicamente,...
hecha 24.04.2018 - 17:22
1
respuesta

¿Cómo funciona la autorización después de la autenticación con OpenID Connect?

Supongamos que un cliente obtiene un token de ID y un token de acceso del servidor de autenticación después de la autenticación exitosa. El cliente ahora envía una solicitud al servidor de aplicaciones (la solicitud contiene el token de acceso y...
hecha 26.09.2018 - 11:30
1
respuesta

¿Cómo usar Oauth2 y JWT para asegurar la arquitectura de microservicio?

Hemos estado investigando el mecanismo adecuado para asegurar los microservicios que vamos a proporcionar como puntos finales de API a través de la aplicación del administrador de API. Fundamentalmente, necesitamos un mecanismo de seguridad s...
hecha 24.08.2018 - 06:24
3
respuestas

¿Algoritmos asimétricos recomendados para JWT?

Estoy implementando la autenticación JWT para un nuevo servicio web y no estoy seguro de qué algoritmo asimétrico elegir. He buscado alrededor y no he encontrado ningún consenso o recomendaciones claras. Según la documentos de PyJWT hay alguno...
hecha 01.10.2018 - 08:00
1
respuesta

Vulnerabilidad del token web JSON con HMAC y RSA

Actualmente estoy aprendiendo sobre una vulnerabilidad que aprovecha un token web JSON que se discute aquí Aunque entendí la naturaleza del error y cómo los atacantes pueden abusar de él, no pude averiguar cómo explotarlo. He leído muchos a...
hecha 05.06.2018 - 13:01
2
respuestas

codificación JWT usando HMAC con clave asimétrica como secreto

Actualmente estoy explotando la vulnerabilidad discutida aquí enlace Donde el tipo de algoritmo en JWT puede cambiarse de RSA a HMAC y firmar el token con una clave pública determinada. Sin embargo, escribí el siguiente código de Pyth...
hecha 07.06.2018 - 13:41
1
respuesta

¿Por cuánto tiempo debe ser válido un JWT en un servicio compatible con PCI-DSS?

¿Existe algún valor máximo impuesto o recomendado por PCI-DSS para la expiración del acceso y actualización de JWT? Si no se aplica, ¿cuál es un valor apropiado para evitar problemas durante las auditorías?     
hecha 23.02.2018 - 19:59