Wpis z mikrobloga

Skopiuj link

 Skopiuj link
krasnoludkolo
  • 2
Jeszcze pytanie odnośnie JWT.

Generuje token z claimami w których jest username i password, wysyłam klientowi i on go potem przesyłam poprzez https więc nikt go po drodze nie podejrzy, ja go na serwerze sprawdzam czy został podpisany moim sekretnym słowem i jeśli tak to dekoduje playload, żeby zobaczyć kto wysyła?

#java #programowanie #webdev #kryptografia
  • 20
  • Odpowiedz

  • Otrzymuj powiadomienia
    o nowych komentarzach
srgs
  • 3
Ktoś podaję login i pass ty sprawdzasz i jak jest poprawny zwracasz podpisany token. Późnej sprawdzasz podpis i daty w tokenie i jak jest poprawny to w tokenie masz np login user i na bazie tego ustawiasz kontext usera w security
  • Odpowiedz
zajety_login
zajety_login
  • 1
@krasnoludkolo: Klient uderzając na Twój endpoint (np. na endpoint stricte przeznaczony do uwierzytelniania) dostarcza login i hasło (oczywiście komunikacja musi być szyfrowana). Ty po stronie backendu sprawdzasz czy wszystko jest cacy: jeżeli tak, to generujesz token JWT, w którym zapisujesz informacje, które później będą Ci potrzebne przy przetwarzaniu kolejnych requestów tego klienta. Oczywiście hasła w tokenie nie umieszczasz (bo nie musisz), a poprawność/ważność tokena sprawdzasz weryfikując jego podpis i datę.
  • Odpowiedz
chester
  • 2
@krasnoludkolo: JWT to jest tylko sposób transportu tokena, a nie sposób autoryzacji.

1. Wysyłasz normalnie username/password do serwer przez JSON body
2. serwer generuje token JWT, w którym zawiera np {username:"", user_id:""}, ale *nie hasło*. Całość odsyła do klienta
3. klient w payload widzi informacje o userze (username i id) ale nie musi z nimi nic robić - korzysta jak z każdego innego tokena, przekazując go po prostu do serwera
  • Odpowiedz
Roballo
  • 0
Czy sekretne słowo do podpisu musi być zawsze to samo? Czy coś się stanie jak po restarcie serwera będzie nowe? Klienci będą musieli się chyba tylko jeszcze raz zalogować, generując sobie nowy token? Nie będzie trzeba wtedy nigdzie trzymać tokenów


@krasnoludkolo: to zależy od kilku czynników m.in jak długo będzie żył taki token (dobrą praktyką jest to aby jak najkrócej, ale życie swoje, a teoria swoje), czy zmienisz "secretKey" w
  • Odpowiedz
srgs
  • 0
@krasnoludkolo: jesali chodzi o bepieczenstwo to lepiej podpisac kluczem asymetrycznym, jak sie upierasz przy symetrycznym to mozesz uzyc czego kolwiek, byle mial odpowiednia dlugosc.
Na pewno potrzebujesz jwt?
  • Odpowiedz
krasnoludkolo
  • 0
@srgs: potrzebuje czegoś co łatwo podpisze requesty.

Pisze dla mnie i grupy znajomych aplikacje do obstawiania wyników meczy i po prostu nie chce, żeby ktoś się podpisywał jako ktoś inny ;)
  • Odpowiedz
krasnoludkolo
  • 0
@srgs: chodzi też, ze mam cały backend praktycznie napisany więc szukam jakiejś łatwej metody, żeby zabezpieczyć te endpointy które tego potrzebują, czyli dodanie nowego zakładu i update starego
  • Odpowiedz

Aktywne Wpisy

wfyokyga
Jak miałeś kiedyś tomaguczi, to teraz powinieneś mieć kolonoskopie
#kiedystobylo #gimbynieznajo
wfyokyga - Jak miałeś kiedyś tomaguczi, to teraz powinieneś mieć kolonoskopie #kiedys...

źródło: temp_file5438865541137324499

Pobierz

9 odpowiedzi

Portek8
Bułki wędliny itp.itd.
Portek8 - Bułki wędliny itp.itd.

źródło: temp_file7034221984890089766

Pobierz

5 odpowiedzi

Aktywne Znaleziska

Spółka bez pilotów wygrała przetarg na transport lotniczy
Spółka bez pilotów wygrała przetarg na transport lotniczy
93
Wydałem debiutancki album z muzyką elektroniczną pt. "Breath and Fire"
Wydałem debiutancki album z muzyką elektroniczną pt. "Breath and Fire"
127
[Video] Rolnicy z desperacją ratują zboże przed ogniem.
[Video] Rolnicy z desperacją ratują zboże przed ogniem.
151
Firma miliardera winduje czynsze w bloku. "Za 35 metrów płacę 1282 zł"
Firma miliardera winduje czynsze w bloku. "Za 35 metrów płacę 1282 zł"
171
Niemiecki radiowóz pędzi 100km/h po Polsce w terenie zabudowanym
754

Popularne tagi