Preguntas con etiqueta 'jwt'

2
respuestas

¿Es seguro usar un mecanismo de autorización sin estado donde la contraseña clara está almacenada en el llavero?

¿Es seguro usar el siguiente mecanismo de autorización sin estado entre un cliente (iOS y Android) y el servidor? Registrarse El cliente proporciona un correo electrónico y una contraseña y guarda la contraseña clara en el Keychai...
hecha 20.06.2018 - 13:28
2
respuestas

¿Es seguro almacenar un JWT en sessionStorage? [duplicar]

Este artículo de Auth0 recomienda almacenar el JWT localmente en un almacenamiento local (o cookie). Sin embargo, este artículo de OWASP recomienda no contar ningún dato sensible localmente (ni siquiera SessionStorage) Entonces, ¿es seg...
hecha 09.02.2018 - 22:00
2
respuestas

JWT o claves públicas-privadas para llamadas de API de servicio a servicio

Estoy estudiando la configuración de la autenticación entre dos servicios de aplicación. El servicio A llamará al servicio B, y quiero que el servicio B solo acepte llamadas (http) del servicio A, en ningún otro lugar. Sé cómo funciona la aut...
hecha 09.03.2018 - 09:03
2
respuestas

¿Qué debo usar para la autenticación de mi API de Django Rest?

Acabo de leer este artículo sobre por qué JWT está chupando. Ahora no estoy seguro de qué debo usar para la autenticación. Para contexto: la API que escribí se usa principalmente en aplicaciones móviles (iOS y Android). En el futuro también...
hecha 29.04.2018 - 17:16
1
respuesta

Seguridad con sesiones que no expiran

Las sesiones caducan de manera diferente en diferentes lugares de la web: StackOverflow: nunca caduca Twitter: nunca caduca Facebook: nunca caduca Raya: caduca después de unos 30 minutos o una hora más o menos Algunos sitios web de b...
hecha 26.11.2017 - 05:45
1
respuesta

Esquema de autenticación y autorización JWT

Estaba revisando los documentos de Oauth2 y pensé que era un tipo de seguridad permisiva, así que intenté implementar tokens JWT con un esquema especial como el de la imagen para una aplicación móvil que se comunica con una API web. Notas: no...
hecha 12.05.2016 - 23:28
1
respuesta

Previniendo ataques de repetición con JWT

Actualmente estoy creando una API REST que se usará para una aplicación web y móvil. La autenticación a la API se realizará utilizando Tokens web JSON . Al usar JWT, podemos usar el reclamo exp para que expire el token después de un t...
hecha 27.11.2017 - 17:14
1
respuesta

¿cómo se mantiene la seguridad en la sesión y JWT?

He estado usando passport JS session por un largo tiempo sin preocuparme realmente por la seguridad. Para el próximo proyecto, pensé en reemplazar session con JWT , pero surgen problemas relacionados con la seguridad a medida...
hecha 15.03.2018 - 15:21
1
respuesta

Reflexiones sobre mi implementación JWT

Así que he estado tratando de aprender todo lo que puedo sobre la tokenización de JWT, y auth0 parece ser el centro de información de JWT de facto. Sin embargo, cuanto más leo sobre los tokens de actualización, más me estremezco: la idea de u...
hecha 08.04.2016 - 02:13
1
respuesta

OAuth2 JWT Firmando con la clave secreta de la aplicación OAuth2

Resumen (lo siento, esto es un bocado): Me gustaría facilitar la Autorización back-end de sistema a sistema a través de OAuth2 y JWT haciendo uso del parámetro 'aud' de JWT para especificar un recurso específico para una aplicación (a travé...
hecha 05.01.2016 - 21:00