Preguntas con etiqueta 'jwt'

preguntas con etiqueta
0
respuestas

¿Cómo obtenemos una subvención al portador de JWT con la audiencia requerida?

De acuerdo con la OAuth JWT Bearer grant spec spec , un JWT válido debe tener algún tipo de identificador (se puede usar el punto final del token) del servidor de autorización de emisión de token dentro de la declaración de audiencia.    El...
hecha 23.06.2016 - 00:34
1
respuesta

¿Compartir tokens de acceso en el encabezado de respuesta?

¿Cuál es la mejor manera de compartir mis tokens de acceso ? ¿Está bien compartirlo en el encabezado como texto sin formato, o necesito verlo por ejemplo? JWT ? Flujo de trabajo actual: -> POST /api/login -d {**creds} <- 201 [header...
hecha 09.12.2015 - 00:56
1
respuesta

¿Es seguro usar jku, kid y x5u en el encabezado JSON Web Signature (JWS)?

No obtengo los parámetros de encabezado como jku , kid , x5u son para JSON Web Signature (JWS). Ya que tenemos que verificar la integridad del contenido con respecto a la clave secreta / pública, ¿es seguro dejar jku...
hecha 22.03.2018 - 08:37
1
respuesta

¿Es seguro usar JWT como identificador de sesión?

Estaba leyendo este artículo y dice que podría haber algunas vulnerabilidades con JWT. Del artículo:    Había dos formas de atacar una biblioteca JWS que cumple con los estándares para lograr una falsificación de token trivial:       E...
hecha 17.03.2017 - 19:53
2
respuestas

Señales de portador de AWS Signature V4 vs OAuth + JWT

Para proteger las API de REST, una opción lógica para el control de acceso es JWT, ya sea por sí misma o en combinación con OAuth. Si solo me importa autenticar a la persona que llama, verificar una firma JWT es suficiente por sí mismo. Si tambi...
hecha 29.06.2017 - 17:54
1
respuesta

¿Está JWT en las cookies con alguna solución CSRF tan vulnerable al XSS como JWT en el almacenamiento local?

He leído que los tokens JWT no deberían almacenarse en localStroage porque los ataques XSS pueden leerlos. La solución propuesta es almacenar tokens JWT en cookies HTTPOnly y usar cookies anti-CSRF con doble envío. OWASP dice que todas las soluc...
hecha 11.04.2016 - 20:23
1
respuesta

Autenticación con JWT

Estoy construyendo SPA (React / Redux) y requiero la autenticación del usuario. He encontrado discusiones similares, pero no he encontrado respuestas para las preguntas que describo a continuación. Aquí hay algunas opciones que encontré para imp...
hecha 15.05.2018 - 08:11
1
respuesta

¿Es la clave secreta para HMAC en forma de caracteres UTF8 lo suficientemente buena?

Hay una popular biblioteca JWT en nuget. Estoy analizando una aplicación que usa esa biblioteca y almacena una clave secreta como una cadena. En el código de la biblioteca veo que usa el MS HMACSHA256 que acepta la matriz de bytes como una cla...
hecha 08.02.2016 - 12:49
1
respuesta

Actualizar tokens en OAuth2 con JWTs

Estoy intentando implementar el flujo de propietario de recursos OAuth2. Mi servidor de autorización genera correctamente tokens web JSON, por lo que mi siguiente paso es implementar tokens de actualización para mi aplicación web. Todo lo que...
hecha 05.12.2015 - 13:20
1
respuesta

Actualizar tokens con SPAs

Hemos estado trabajando con SPAs que POST a través de credenciales a la API y reciben un JWT (token de acceso) y token de actualización. Los tokens se almacenan, en función del "Manténgame conectado", en el almacenamiento de sesión o en e...
hecha 20.02.2018 - 21:04