Preguntas con etiqueta 'jwt'

1
respuesta

¿Puede la autenticación JWT actuar como un mecanismo anti-CSRF?

En la aplicación de página única Angular (Angular + REST API) uso la autenticación JWT . Asumamos que los tokens JWT se generan correctamente y son realmente aleatorios (no se puede predecir). ¿Es este token JWT suficiente protección contra...
hecha 09.01.2018 - 11:35
1
respuesta

token JWT de un solo uso con reclamación de ID de JWT

Estoy intentando averiguar cómo emitir un token JWT de un solo uso para la función de restablecimiento de contraseña y aún así mantenerlo sin estado. Encontré Tokens de uso único con JWT , lo que básicamente sugiere incluir el hash de la contra...
hecha 13.03.2017 - 20:51
2
respuestas

Seguridad de token web JSON

He estado trabajando con JSON Web Tokens y he estado leyendo sobre cómo hacer que una aplicación sea más segura. Cuando un usuario está autorizado, el token se firma y un token se colocará en el encabezado de autorización. Este token se puede co...
hecha 19.11.2015 - 02:39
2
respuestas

JWT vs. certificados de cliente

Tenemos un servidor de transacciones que está conectado a través de diferentes aplicaciones cliente. El requisito es tener un medio seguro de autenticación para que las aplicaciones cliente se comuniquen con el servidor de transacciones. Las dos...
hecha 24.06.2016 - 18:20
2
respuestas

¿Es un usuario poder ver su propio UID un riesgo de seguridad?

Al trabajar en una aplicación web con un sistema de autenticación de token, me pregunto si dar a un usuario acceso para ver su propia identificación de usuario, ¿un riesgo para la seguridad? No se podrá ver fácilmente, primero tendrían que marca...
hecha 06.12.2017 - 07:10
1
respuesta

Reclamaciones de tokens web JSON. ¿Dónde pongo un nombre de usuario?

Estoy usando JWT para verificar los usuarios. Como resultado, necesito crear un token web json que contenga la siguiente información: nombre de usuario, mi compañía y fecha de vencimiento. En el estándar JWT hay reclamaciones reservadas, como el...
hecha 04.12.2015 - 08:35
3
respuestas

¿Debería almacenarse el token JWT en una cookie, encabezado o cuerpo?

¿Cuál es la forma más segura de almacenar la transferencia y almacenar un token JWT, o cualquier token de autenticación en general? Alguien me dijo que es seguro enviar el token de autenticación como una cookie, pero no entiendo cómo esto pro...
hecha 20.07.2016 - 19:34
2
respuestas

Rompiendo una firma JWT

Estoy probando una API que usa JWT para la autenticación. Este JWT tiene una firma HS256 para evitar modificaciones. Pensé que si determinaba la clave secreta utilizada en esta firma, podía crear mis propios JWT. ¿Cómo puedo descifrar la clave s...
hecha 18.08.2016 - 09:25
3
respuestas

¿Es seguro este flujo de autenticación sin contraseña?

Me gustaría implementar un flujo de autenticación sin contraseña para mi aplicación móvil que solo requiere que un usuario haga clic en un enlace en su correo electrónico para iniciar sesión. Similar a cómo Slack maneja la autenticación. Usaré...
hecha 17.11.2018 - 19:03
1
respuesta

¿Por qué debo confiar en un token web JSON (JWT)?

En los modelos de autenticación SAML y Kerberos, existe una comprensión explícita de qué autoridad ha autenticado al usuario y ha emitido la credencial para que los sistemas posteriores confíen en ella. A los fines de la propagación de identidad...
hecha 12.10.2015 - 17:33