#jwt :: Wykop.pl

Wszystko

Wszystkie

Archiwum

03.01.2023, 10:22:59

Gdzie trzymacie token JWT w aplikacjach typu SPA (np. Angular, React)?

localStorage - jak będzie atak XSS, to atakujący wykradnie token lub wykona CSRF
ciastka HTTP only - możliwy do wykonania atak CSRF (bo kto stosuje tokeny anty-CSRF w REST API?)

W przypadku aplikacji mobilnych ciastka odpadają (chyba że to PWA).

ssauczo_pauczo

03.01.2023, 10:34:23

@SendMeAnAngel: po to JWT się stosuje, żeby było prosto, nie bezpiecznie. Jak user nie potrafi przypilnować ciastek, to już jego problem

S.....i

konto usunięte 03.01.2023, 10:51:35

@SendMeAnAngel: kwestia tego na jakim poziomie jest wymagane security w twoim projekcie, jesli nie robisz np aplikacji bankowej to nie powinienes sie tym przejmowac, ciezar lezy po stronie uzytkownika w przeciwnym wypadku zajmie sie tym BE, walidujac token z fingerprintem/ip/hwid usera opcji jest wiele lacznie z regeneracja tokenu czy krotka sesja (wygoda uzytkownika w przypadku duzego bezpieczenstwa nie jest priorytetem)

chlodna_kalkulacja

26.02.2022, 09:22:57 via Wykop Mobilny (Android)

Lustra teleskopu James Webb zostały bardzo wstępnie skalibrowane, teraz czas na szczegółową kalibrację. Pewnie pamiętacie pierwsze zdjęcie wykonane przez JWT, przedstawiające gwiazdę HD 84406, które wyglądało jak sieczka. Teraz wygląda już znacznie lepiej. Póki co, każde z 18 luster działa jak oddzielny teleskop, jednym z następnych kroków będzie połączenie ich w jeden teleskop, ale do tego potrzeba znacznie bardziej precyzyjnej kalibracji.

https://blogs.nasa.gov/webb/2022/02/25/webb-mirror-alignment-continues-successfully/

#kosmos #webb #nasa #

chlodna_kalkulacja - Lustra teleskopu James Webb zostały bardzo wstępnie skalibrowane... — **źródło:** comment_1645867377mcseSi9g78TYT3DsJqWAN1.jpg
Pobierz

C.....n

konto usunięte 26.02.2022, 09:46:01

Póki co,

@chlodna_kalkulacja: I po co ten rusycyzm? ;>

elf_pszeniczny

28.01.2022, 22:01:22 via Wykop Mobilny (Android)

Dotarł bezpiecznie do L2 ( ͡º ͜ʖ͡º)

#jwt #jwst

hu2jec123

11.05.2022, 22:24:35

@elf_pszeniczny: dobrze ze nie L4

TomAtari

01.12.2020, 09:29:04

#react #programowanie #naukaprogramowania #jwt

Mirki, jaki jest obecny standard w normalnej firmie IT odnośnie łączenia JWT (jako token do uwierzytelniania requestów) i SPA (np. React)? Znam kilka metod poniżej, ale chciałbym wiedzieć czego w rzeczywistości się używa?

1. JWT w localstorage -> wbrew dziesiątkom art. na necie twierdzącym, że to samo zło, sporo osób twierdzi, że tego używa i się nie przejmują XSS, koronny argument jest taki, że jak ktoś uzyska dostęp to i tak jwt to najmniejszy problem bo może zrobić dużo więcej złego.

2.

TomAtari

01.12.2020, 10:02:09

@Loperamid: właśnie to co napisałeś to punkt 3 mojego wpisu, z JS nie odczytasz, ale jak ktoś ma dostęp do przeglądarki to jaka jest różnica względem 1-2? I tak requesty są podpisane.

a odnośnie Twojego pytania to czytałem o wrzucaniu w ten sposób keyloggera czy podrzucaniu phishingowych formów dzięki czemu można łatwo uzyskać np. dostęp do banku

Loperamid

01.12.2020, 10:07:00

@TomAtari: Faktycznie, dopiero doczytałem. W sumie żadna różnica. Jeśli potrzebujesz żeby Twój JS miał dostęp do JWT to trzymasz go w localstorage, ale wtedy może go odczytać także XSS. Ciasteczka są o tyle lepsze, że możesz ustawić HTTPOnly i zabezpieczyć się przed XSSami. Requesty to prawda są podpisane, ale możesz ustawić SameSite na ciasteczku albo zaimplementować inną ochronę przed CSRF i będziesz miał podpisane tylko te requesty, których się spodziewasz.

aptitude

12.10.2020, 19:12:33

Jeżeli ktoś jest tak leniwy jak ja ale chce napisać nowy serwis z autoryzacją użytkownika, to używa starego projektu i dopisuje dodatkowe kontrolery i routery :D Kocham NodeJS i Express <3

Może udostępnię kiedyś swoje #pbsapi na github... #jwt #express

gajowy_marucha

30.10.2019, 14:28:41

#webdev #jwt
Dlaczego trzeba używać refresh token (który ma długą datę ważności) a nie można po prostu wydłużyć ważności podstawowego tokena?
W jaki sposób refresh token jest bezpieczniejszy?

Marmite

30.10.2019, 14:33:41

Komentarz usunięty przez autora

MQs

30.10.2019, 15:30:05

@gajowy_marucha: Chodzi o to żeby sam token się autoryzował bez uderzania do głównej bazy (serwera autoryzującego), a jednocześnie użytkownik miał możliwość wycofania tych zezwoleń. Wycofanie nastąpi poprzez zablokowanie odświeżania (plus jakieś tymczasowe listy, powiadomienia... zależy co potrzebne i gdzie wycofano).
Sytuacja podobna do posługiwania się jakimś dokumentem, którego posiadanie uprawnia do czegoś bez konsultacji z instytucją która go wydała.

mateuszd

08.10.2019, 12:02:15

Dzisiaj wrzuciłem kolejny artykuł ze #sprinsecurity tym razem opisuję jak połączyć go z Json Web Token

Spring Security i Json Web Token

#programowanie #jwt #java #naukaprogramowania #programista15k #nullpointerexception

D.....x

konto usunięte 08.10.2019, 17:19:41

@mateuszd: dzięki Mati :)

.NET Core Identity - Generowanie JWT

Słyszeliście o JSON Web Token-ach? Zapewne tak. W sieci pełno jest artykułów o wadach, zaletach, wykorzystaniu w implementacjach OAuth2 czy OIDC. Czy to znaczy, że napisano o nich wszystko, co się da? Przemilczę odpowiedź i dorzucę własną, mam nadzieje, że przydatną, cegiełkę. Trochę z...

z dodany: 09.08.2018, 09:38:26

mariusz-laszczka

08.07.2018, 12:43:40

#java #jwt #securit #spring

Mirki, robię apkę do generowania JWT w spring boocie. Apka ma udostępniać klucze publiczne, przez które serwisy sobie będą walidować tokeny (jak tutaj: https://login.microsoftonline.com/common/discovery/v2.0/keys)

No i pojawia się pytanie : Będę miał wiele kluczy prywatnych/publicznych ładowanych z pliku. Każdy prywatny klucz będzie miałzbiór publicznych kluczy (żeby nie generować tokenu zawsze tym samym kluczem prywatnym).

Klient

mariusz-laszczka

08.07.2018, 12:57:02

@LM317T: Chodzi mi o taką infrastrukturę |(Ja jestem Identity Providerem)

mariusz-laszczka - @LM317T: Chodzi mi o taką infrastrukturę |(Ja jestem Identity Prov... — **źródło:** comment_viEFODrukqcPLgHspT73KMf9wyILHfdv.jpg
Pobierz

L.....T

konto usunięte 08.07.2018, 13:18:18

@mariusz-laszczka: moim zdaniem tak: jeśli generujesz klucz publiczny załóżmy nadajesz mu jakieś uid i zapisujesz to w bazie, uid klucza publicznego umieszczasz w payload JWT.
Wtedy service może zdekodować token, odczytać uid klucza prywatnego (z payload), wysyła zapytanie do Ciebie, odsyłasz klucz publiczny i service waliduje token i zapisuje sobie public key na przyszłość.

Darmowy ebook o bezpieczeństwie JWT (JSON Web Token)

Zasadnicze problemy w JWT, błędy bezpieczeństwa w bibliotekach, checklista: co sprawdzić pod względem bezpieczeństwa w swojej implementacji. PDF/MOBI/EPUB

z dodany: 06.06.2018, 08:50:59

Goglez

16.04.2018, 16:05:38

Mam problem, robię sobie projekt (ASP.NET Core 2.0), gdzie będzie kilka ról (używam JWT), każda będzie rozszerzoną wersją innej (user ma swoje prawa, mod jest userem + modem, admin ma moda plus coś jeszcze itp), prosta hierarchia. Da się zrobić tak, żeby user mógł mieć jedną rolę (skoro jest modem, to wiadomo że jest też userem) z pominięciem niższych i nie dodawać wielu ról do [authorize]? Chodzi mi o to, żeby do

w_o_w

16.04.2018, 16:13:51

@Goglez: Jeżeli używasz Identity to dodaj claim typu ClaimType.Role do tabelki AspNetRoleClaim.

lukpep

16.04.2018, 19:16:00

@Goglez: services.AddAuthorization(x => x.AddPolicy("IsUserOrAbove", p => p.RequireRole("admin", "mod", "user")));

cos na takiej zasadzie. I potem kontroler oznaczasz:
[Authorize(Policy = "IsUserOrAbove")]

i analogicznie inne

damian44__

03.03.2018, 11:29:43

Robię aplikacje klienta w #electron i #react. Aplikacja będzie się komunikowała z REST API. Chcę, aby dostęp do tego API było wyłącznie dla tej aplikacji. Czyli prywatne API. Aplikacja ma logowanie - to załatwię za pomocą #jwt, ale nie wiem jak poradzić sobie z zablokowaniem dostępu. Czy wystarczy zwykle hasło na #nginx (.htpasswd)?

#webdev #programowanie #rest

Marmite

03.03.2018, 11:32:38

@damian44__: ale przecież w tej aplikacji i tak będziesz mieć zaszyte wszystkie adresy i hasła i jak ktoś będzie chcieć, to sobie je wyciągnie

ppawel

03.03.2018, 13:45:09

@damian44__: najbezpieczniej byłoby zaimplementować tam "prawdziwe" logowanie się, czyli dostęp tylko zautentyfikowanego użytkownika, najwyżej żeby nie musieli za każdym włączeniem wpisywać tego samego niech jakieś ciasteczka/storage/sesja czy co tam jeszcze jest w electronie trzyma to w jakiejś pamięci apikacji, a plus będzie taki że robiąc kopiuj-wklej nikt nie zabierze dostępów ze sobą

Roballo

25.12.2017, 23:16:51

Mireczki zapewne głupie pytanie, ale znacie strone/githuba czy gdzieś z dobrze zrobioną implementacją jwt w springu? Tego jest mnóstwo i niestety każda się różni w jakiś sposób. Po prostu chciałbym przeanalizować krok po kroku, ale wolałbym raz, a nie 10 po trochu ( ͡° ʖ̯ ͡°)

#java #programowanie #jwt

Roballo

26.12.2017, 10:25:55

@interface: zupełnie o nim zapomniałem!

Roballo

26.12.2017, 23:57:22

https://auth0.com/blog/implementing-jwt-authentication-on-spring-boot/
https://www.linkedin.com/pulse/json-web-token-jwt-spring-security-real-world-example-boris-trivic/
https://www.toptal.com/java/rest-security-with-jwt-spring-security-and-java
https://github.com/bfwg/springboot-jwt-starter
https://github.com/szerhusenBC/jwt-spring-security-demo
https://github.com/ThomasVitale/spring-security-jwt-rest-demo

lisek

12.12.2017, 11:53:49

Czy .net core ma mechanizm do połącznie JwtBearer i Cookie dla leniwych czy trzeba middleware pisać? Przypadek użycia (wszystko z backendu): Dostaję jwt token z auth server -> wrzucam go w cookie -> wchodzę w zasób z [Authorize] -> dostaję do tego pozwolenie + mogę zgrabnie odczytać HttpContext.User.Identity...

#dotnetcore #dotnet #jwt #aspnet #programowanie

lisek

12.12.2017, 12:03:36

@trustME: Wiem że nie potrzebuję. Pytam się czy konkretnie takie rozwiązanie jest możliwe w przypadku webapp

lisek

12.12.2017, 13:35:43

Prosty middleware dodający header Authorize w locie znaleziony na stackoverflow dał oczekiwany skutek. Chociaż nie wydaje mi się że jest to najpiękniejsze rozwiązanie. Reszta to .AddJwtBearer()