Preguntas con etiqueta 'jwt'

1
respuesta

¿Cómo es seguro usar un punto final para claves públicas?

OpenID Connect tiene puntos finales de descubrimiento que contienen un punto final de JKWS para obtener claves públicas para validar Identidad y tokens de acceso. Entonces, por ejemplo: Tengo una aplicación de escritorio que obtiene un...
hecha 03.06.2016 - 18:03
1
respuesta

No estoy convencido de la seguridad de un token JWT + token CSRF

Supongamos que tengo una aplicación web que utiliza tokens JWT y tokens CSRF en su esquema de autenticación. Como lo entiendo, funciona así: Cuando un usuario inicia sesión, el cliente envía una solicitud de inicio de sesión. El servidor...
hecha 30.11.2018 - 00:29
1
respuesta

Amazon AWS KMS - Concepto de firma en general y con JWT

Buscando en Amazon AWS KMS (Sistema de gestión de claves). Se confundió, ya que los métodos expuestos a través de la API de Amazon AWS son solo para cifrar y descifrar ( enlace ). Sin embargo, quiero firmar datos (JWT en particular). Mis p...
hecha 27.06.2018 - 08:58
1
respuesta

MQTT sin TLS: impide publicar mensajes desde dispositivos no autenticados

Tengo un caso de uso en el que no puedo usar MQTTS / TLS debido a restricciones en los dispositivos. Nuestro plan es realizar la autenticación durante MQTT CONNECT , pasando un token JWT como contraseña. Si entiendo correctamente, MQTT...
hecha 05.09.2018 - 12:40
1
respuesta

JWT con SSL ¿aún necesita la firma HMAC o RSA o simplemente estoy paranoico?

Estoy intentando implementar un sistema de autenticación / autorización usando JWT para mi aplicación web. Los clientes reciben un token en el formato JWT habitual de mi servidor una vez que presentan las credenciales que verifico en la base de...
hecha 31.01.2017 - 12:21
2
respuestas

¿Cómo implementar la auto-revocación de JWT?

Estoy trabajando en una API usando Node y Express, con una base de datos Mongo. Mis usuarios pueden autenticarse utilizando una ruta y obtienen un JWT a cambio. Quiero implementar un mecanismo de seguridad para proteger dichos tokens. Es deci...
hecha 02.03.2017 - 13:15
1
respuesta

¿Se pueden usar las herramientas web JSON para simplificar el protocolo OAuth2 sin comprometer la seguridad?

He usado json webtokens para manejar la autenticación de algunos sitios web de pasatiempos en el pasado. Para mi próximo sitio, me gustaría usar OAuth2, para permitir que mi sitio se use con otros servicios. Parece que el protocolo de código...
hecha 24.02.2017 - 09:46
1
respuesta

Cómo saber qué clave secreta usar para crear y verificar JWT

Tenemos varios sitios web donde los usuarios tienen que iniciar sesión. Para cada sitio web, queremos admitir una solución de inicio de sesión único basada en JWT ( JSON Token web ). También hay varios (otros) sitios web que pueden actuar como...
hecha 30.08.2016 - 23:19
3
respuestas

¿Es seguro devolver un JWT a un usuario que ya ha iniciado sesión?

Estoy usando JWT para manejar un esquema de SSO donde dos sistemas (llamémoslos A y B) requieren autenticación, pero el almacén de datos del usuario está en un solo sistema (digamos A). Todo lo que he visto sobre JWT involucra al usuario que pub...
hecha 19.11.2015 - 23:52
2
respuestas

autenticación / autorización de API de microservicios y multiservicios

Busco consejos sobre cómo podemos implementar la autenticación y la autorización para multitenancy con un número de escenarios ligeramente diferente. Estamos construyendo un conjunto de API, algunas de las cuales son accesibles internamente (...
hecha 12.11.2015 - 21:30