Preguntas con etiqueta 'jwt'

3
respuestas

¿Qué protege a un JWT de ser secuestrado y utilizado para hacerse pasar por el usuario original?

Lo siento por esta pregunta posiblemente tonta, solo estoy aprendiendo sobre JWT, así que por favor, tengan paciencia conmigo ... Leí los documentos de JWT ampliamente, pero no entiendo qué impide que un pirata informático secuestre el JWT y...
hecha 04.10.2017 - 04:40
3
respuestas

de forma segura utilizando JWT con protección CSRF y tokens de actualización

Estoy implementando JWT en mi aplicación y me gustaría hacerlos lo más seguros posible. Presentaré todo lo que estoy planeando, agradecería enormemente cualquier sugerencia en cuanto a la seguridad de esta implementación. Este es mi sitio, tengo...
hecha 13.08.2016 - 01:49
1
respuesta

¿Por qué se usan tokens de actualización?

Leyendo sobre JWT Veo que es una práctica común incluir un token de actualización junto con el token de vida corta. Por lo general, parece que tiene un token de corta duración que dura un breve período de tiempo, como 15 minutos, y un token de a...
hecha 08.03.2016 - 01:12
1
respuesta

¿Cuál es el propósito del JSON Web Token (JWS) emitido en el campo "iat"?

RFC 7519 especifica un campo "iat" opcional, que indica cuándo se emitió un token. El RFC proporciona un comentario conciso:    Esta reclamación se puede utilizar para determinar la edad del JWT. ¿Cuál es el propósito del campo "iat"? P...
hecha 08.01.2018 - 17:54
2
respuestas

¿Está utilizando el token JWT para "recordarme" menos seguro que el token de sesión aleatorio?

Estoy después de leer " enlace " y " enlace " (entre otros :-)) y lo que me gustaría evitar es usar a ciegas todas las medidas de seguridad que se puede pensar simplemente para sentirse más seguro. Algo como el hash de un hash "por si acaso"....
hecha 08.07.2016 - 20:55
2
respuestas

Codificación Base64 de un hash SHA256

Actualmente estoy leyendo sobre JWTs y he escrito algo para crearlos. Cuando creé mi JWT noté que mi firma no se estaba codificando correctamente. Por ejemplo, dado el hash 9B2317C2C941A179130D0D28961AB542C88745658BE328F557422EA0AF8F60E8...
hecha 14.12.2016 - 20:31
1
respuesta

autenticación de API REST con protección JWT y CSRF para SPA

Estoy desarrollando un SPA con back-end REST y quiero tener una autenticación simple basada en token. El objetivo para el respaldo de REST es ser apátrida. Explicaré el modelo de seguridad e intentaré hacer referencia a todas las fuentes para la...
hecha 21.02.2017 - 13:10
2
respuestas

¿Qué sucede si mi token anti-CSRF se ve comprometido por un ataque XSS?

La interesante pregunta de desbordamiento de pila "¿Las cookies protegen los tokens contra los ataques XSS?" se cerró como demasiado amplio, pero como se menciona en un comentario, hay una pregunta tangible de "¿Qué sucede si mi token anti-CSR...
hecha 11.01.2018 - 05:34
1
respuesta

¿Sería viable encriptar un JWT firmado para asegurar la carga útil de los reclamos?

Estoy trabajando en una aplicación web servidor-cliente y, como esquema de autenticación, estoy emitiendo json web tokens . Considera el siguiente token ... eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9l...
hecha 20.05.2016 - 23:08
1
respuesta

Secreto compartido cuando se utiliza JWT con un HMAC para la autenticación

Actualmente estoy implementando la autenticación de usuarios en una API similar a REST que utiliza un cliente de Android. Después de algunas investigaciones, creo que JWT (JSON Web Token) es una buena manera de hacerlo. El procedimiento básic...
hecha 25.01.2017 - 22:00