Preguntas con etiqueta 'jwt'

preguntas con etiqueta
1
respuesta

¿Se garantiza que una cadena aleatoria en una cookie y un encabezado sean lo mismo para proteger contra XSRF?

En un esquema de cookie-to-header para enviar los tokens xsrf / csrf , el servidor establece un número pseudoaleatorio criptográficamente seguro como una cookie en la máquina del cliente. Se espera que el código de script java en la máquina cl...
hecha 29.10.2017 - 02:52
2
respuestas

¿Debo verificar si el token es válido cada vez que un usuario navega en mi aplicación?

Tengo una aplicación de una sola página (SPA) que se comunica con una API. He creado un sistema de autenticación muy simple: el usuario inicia sesión y obtiene un token web JSON (JWT) que se almacena en el almacenamiento local del usuario. Ta...
hecha 25.11.2017 - 19:09
2
respuestas

Práctica recomendada para almacenar el token de autenticación del lado del cliente

Estoy creando un sistema de frontend / backend separado donde el usuario 2FA se autentica y obtiene un JWT de vuelta al lado del cliente. Estoy usando angular y, por ahora, simplemente guardo ese token en $ window.sessionStorage y lo incluyo...
hecha 08.01.2017 - 02:29
1
respuesta

¿Repetir el ejemplo de ataque para validar nonce?

Estoy intentando validar un token JWT recibido de Windows Azure. Estoy siguiendo la documentación aquí: enlace Cuando solicita un token, Azure le hace suministrar un nonce, y el token JWT devuelto contiene el nonce que envió, y se supone qu...
hecha 17.05.2016 - 16:56
0
respuestas

¿Son realmente tan malos los tokens de actualización de JWT en el navegador?

Nota: Reconozco que puede faltar algo en la imagen, lo cual es parte de mi razón para publicar. Me gustaría obtener la opinión de las personas con más experiencia que yo en las implementaciones relacionadas con autenticación / autorización. A...
hecha 19.05.2018 - 18:09
0
respuestas

¿Conceptos para admitir la autenticación local y externa: JWT, Cookies, HttpOnly, ...?

Estoy tratando de descubrir la estrategia y los conceptos de autenticación correctos para una aplicación web de una sola página (SPA) con inicio de sesión local, así como inicio de sesión de terceros (por ejemplo, Google, Auth0). Desafortunadame...
hecha 22.03.2018 - 13:24
0
respuestas

Autenticar JWT a través de websocket

Publico aquí para saber si mi mecanismo de autenticación a través de websocket es correcto. La API de mi aplicación funciona a través de websocket en lugar del resto HTTP estándar. Cada vez que se accede a una ruta que está protegida a través...
hecha 11.04.2017 - 17:03
0
respuestas

¿Usar la concesión del código de autorización sin usar cookies?

He estado leyendo sobre esto durante meses y parece que todo podría converger en lo que estoy resumiendo a continuación. Estoy tratando de llegar a lo más ideal: OAuth2 OpenID Connect SPA / Cliente móvil JWT La solución que tiene ca...
hecha 07.10.2017 - 20:40
0
respuestas

¿Necesito usar SAML y JWT para la autenticación en la aplicación web de SSO?

Soy nuevo en el proceso de autenticación de SAML, por lo que solo estoy tratando de averiguar si lo entiendo para poder integrar mi aplicación web (Angular / Nodejs) en un portal existente que actualmente utiliza SAML como medio de autenticación...
hecha 01.05.2018 - 13:49
0
respuestas

JWT en localStorage con sessionId encriptado

Lo que quiero: Almacena un JWT en localStorage. El JWT contiene reclamos sobre la autorización. Evita que el JWT sea robado y usado por un atacante (usando XSS) Evita CSRF Almacenar el JWT en localStorage es malo, ya que explotar XSS...
hecha 30.04.2018 - 10:55