نوشته‌شده در

آیا PASETO جایگزین JWT برای مجوز API می شود؟

آیا سرور PASETO متقارن کلید به طور جدی به عنوان یک کاندیدای قابل قبول برای جایگزینی JWT برای مجوز جلسه API ارزیابی شده است؟

JWT

https://tools.ietf.org/html/rfc7519

https: / /jwt.io

PASETO

https://raw.githubusercontent.com/paragonie/paseto/d7a1067c48e5ada67567fc546e8a6232d82c94ce/docs/RFC/draft-paragonie-paseto-rfc-00.txt

https://paragonie .com / blog / 2018/03 / paseto-platform-agnostic-security-tokens-is-secure-alternative-jose-standards-jwt-etc

نوشته‌شده در

برنامه وب – چگونه یک نشانه JWT میتواند اسرار چندگانه داشته باشد؟

من از ابزار jwtcrack استفاده میکنم تا یک نشانه صادر شده JWT را امتحان کنم. من فکر می کنم فقط خروجی زیر باید توضیح دهد که چه چیزی به خوبی پیش می رود: 

[0] ٪ ./jwtcrack [token]
راز "P" است

joseph @ MBA <master ●>: ~ / c-jwt-cracker
[0]٪ ./jwtcrack [token]
راز "یک" است

joseph @ MBA <master ●>: ~ / c-jwt-cracker
[0]٪ ./jwtcrack [token]
راز "ال" است

joseph @ MBA <master ●>: ~ / c-jwt-cracker
[0]٪ ./jwtcrack [token]
راز "ال" است

joseph @ MBA <master ●>: ~ / c-jwt-cracker
[0]٪ ./jwtcrack [token]
راز "یک" است

joseph @ MBA <master ●>: ~ / c-jwt-cracker
[0]٪ ./jwtcrack [token]
راز "یک" است

joseph @ MBA <master ●>: ~ / c-jwt-cracker
[0]٪ ./jwtcrack [token]
راز "R" است

joseph @ MBA <master ●>: ~ / c-jwt-cracker
[0]٪ ./jwtcrack [token]
راز "ال" است

آیا این نوعی ویژگی است؟ من احساس می کنم که jwtcrack فقط مشکل است، اما چگونه می تواند چندین نتیجه مثبت برای اسرار مختلف داشته باشد؟ این که حتی از طریق رمزنگاری امکان پذیر است؟

نوشته‌شده در

نحوه استفاده از Oauth2 و JWT برای حفاظت از معماری میکرو سرویس؟

ما در حال بررسی مکانیزم مناسب برای ایمن سازی سرویس های میکروسکوپی هستیم که ما از طریق برنامه مدیریت API به عنوان نقاط پایانی API ارائه می دهیم.

اساسا ما نیاز به مکانیزم امنیتی غیرقانونی مانند JWT برای ایمن سازی هر نقطه پایانی API دارد

اینجا را وارد کنید

اما به نظر می رسد که هر درخواست باید از طریق Auth Server و پس از آن مکان بسیار شلوغ خواهد شد. هر مکانیسم استاندارد برای غلبه بر این وضعیت وجود دارد. ما در مورد ارائه نشانه دسترسی جداگانه به مشتری به جای نشانه اصلی Auth شنیدیم، اما با تأیید نشانه دسترسی از سطح سرویس microservice مواجه شدیم. هر راه حل واقعا قدردانی خواهد شد

با تشکر از قبل.

نوشته‌شده در

برنامه وب – اگر کاربر نیاز به ارسال مجوزهای خود را یکبار به هر کدام از مزایای JWT چیست؟

نشانه های JWT به نظر می رسد یک ایده بسیار خوب است. شما می توانید یک درخواست برای برخی از API ارسال کنید بدون استفاده از نام کاربری / رمز عبور خود را مخفی کنید.

با این حال، من به طور کامل مزایای آن را درک نمی کنم. من دو سوال دارم:

  1. برای دریافت نشانه، کاربر همچنان نیاز به ارسال اعتبار خود را به برخی از سرور که مسائل مربوط به این نشانه ها را صادر می کند. آیا نقطه ضعفی در این مورد نیست؟
  2. اگر حمله کننده در هنگام نقل انتقال علامت را دزدی می کند، می تواند از آن استفاده کند تا وانمود کند که شخص دیگری است. تفاوت تنها بین این و استفاده از رمز عبور کاربر / رمز عبور این است که برچسب JWT پس از یک دوره زمانی از بین می رود، بنابراین مهاجم زمان زیادی برای انجام کاری ندارد.

آیا فهم من درست است؟ چه چیزی از دستم رفته؟ مزایای واقعی استفاده از JWT vs user / password چیست؟

نوشته‌شده در

رمزنگاری – آمازون AWS KMS – مفهوم ورود به سیستم به طور کلی و با JWT

به Amazon AWS KMS (سیستم مدیریت کلیدی) نگاه کنید.

اشتباه گرفته شده است زیرا روش های موجود در معرض Amazon AWS API فقط برای رمزگذاری و رمزگشایی هستند. با این حال، من می خواهم امضای اطلاعات (به خصوص JWT).

سوالات من:

1) آیا تقریبا رمزنگاری هش محتوا را امضا می کند؟

2) در مورد JWT، اگر من محتوای هش JWT و رمزگذاری آن و قرار دادن آن در زمینه امضا، آن را به درستی امضا خواهد شد؟

با تشکر،