[Из песочницы] JSON Web Token и sliding expiration в web-приложении

Все блоги / Про интернет 21 сентября 2015 510

В web-приложениях наиболее распространенным методом аутентификации до настоящего времени являлось использование файлов cookies, которые хранят идентификатор серверной сессии и имеют свой срок годности (expiration date). При этом существует возможность эту дату автоматически продлевать при очередном обращении пользователя на сервер. Такой подход носит название sliding expiration.

Однако в последнее время разработчики стремятся отказаться от использования cookies и серверной сессии в виду ряда причин и ищут альтернативные способы аутентификации. Одним из них является использование JSON Web Token (JWT) — маркер, который содержит в зашифрованном виде всю минимально необходимую информацию для аутентификации и авторизации. При этом не требуется хранить в сессии данных о пользователе, так как маркер самодостаточный (self-contained). Однако это в свою очередь добавляет определенные сложности с контролем над JWT, что может свести на нет все его преимущества перед cookies. На просторах Интернет мною было найдено несколько решений этих проблем, и здесь я бы хотел предложить альтернативный вариант, который, как мне кажется, при своей простоте должен удовлетворить потребности многих проектов.
Читать дальше →

Источник: Хабрахабр

Оцените публикацию

предыдущая статья

следующая статья

Похожие публикации

Шпаргалки по безопасности: JWT

Многие приложения используют JSON Web Tokens (JWT), чтобы позволить клиенту идентифицировать себя для дальнейшего обмена информацией после аутентификации. JSON Web Token – это открытый стандарт (RFC 7519), который определяет компактный и автономный способ безопасной передачи информации между

подробнее »

23 июня 2019

Токен авторизации на примере JSON WEB Token

Доброго времени суток, дорогой читатель. В данной статье я постараюсь рассказать об одном из самых популярных (на сегодняшний день) способов авторизации в различных клиент-серверных приложениях - токен авторизации. А рассматривать мы его будем на примере самой популярной реализации - JSON Web Token

подробнее »

18 декабря 2020

[Перевод] Локальное хранилище или куки? Безопасное хранение JWT на клиенте

JWT (JSON Web Token) — это замечательный стандарт, основанный на формате JSON, позволяющий создавать токены доступа, обычно используемые для аутентификации в клиент-серверных приложениях. При использовании этих токенов возникает вопрос о том, как безопасно хранить их во фронтенд-части приложения.

подробнее »

2 августа 2020

Атаки на JSON Web Tokens

Содержание: Что такое JWT? Заголовок Полезная нагрузка Подпись Что такое SECRET_KEY? Атаки на JWT: Базовые атаки: Нет алгоритма Изменяем алгоритм с RS256 на HS256 Без проверки подписи Взлом секретного ключа Использование произвольных файлов для проверки Продвинутые атаки: SQL-инъекция Параметр

подробнее »

9 января 2021

Как пользователи воспринимают разные методы аутентификации

Наиболее распространенным методом онлайн-аутентификации на данный момент является пароль. Есть другие, не менее популярные методы онлайн-аутентификации, такие как: двухфакторная аутентификация (или 2FA), логины социальных сетей. Современные пользователи имеют около 25 различных учетных записей

подробнее »

11 декабря 2017

АРСИЭНТЕК запускает третью версию auth.as:token для iOS

В третьей версии auth.as:token для iOS, доступной для скачивания в Apple AppStore, воплощён целый ряд новых возможностей: — Добавлена многопрофильность, благодаря которой можно генерировать пароли сразу для нескольких доменов, не импортируя каждый раз настройки учётной записи. Через iCloud список

подробнее »

6 апреля 2016