Na JWT je podpísaný pomocou predv. zdieľaný kľúč, zadajte tajný kľúč. Pretože je to REST API gl a osoby bez štátnej príslušnosti, jwt sa používa pre oprávnenie a postaviť hlavný objekt
Ako môžete povedať, prístupový token, predstavujú povolenie, vo vašej žiadosti, ak obnoviť token je vystavená potom obnoviť token môže byť prezentované zlý herec získať prístupový token, ktoré môžu využiť pre rovnaké oprávnenia.
Pomocou "predv. zdieľaný kľúč, zadajte tajný" označuje JWT je HMAC iba variant JWT, t. j. nie je šifrovanie, ktoré by mohli naznačovať, súkromný a verejný kľúč pár rozdiel od 'predv. zdieľaný kľúč, zadajte secret". Takže JWT je v podstate podpis za puposes bezpečnostných charakteristík sme zabezpečiť integritu , že nároky JWT sú dobre tvarované a neboli zmenené od podpísané. Znamená to tiež isté tajomstvo sa používa na prihlasovanie sa na jednom konci, ako bol použitý na overenie, na druhom konci, rovnaké tajomstvo sa má použiť, pretože overenie podpisu vyžaduje, aby oba konce generovanie podpisu a obaja podpis zápas. Takže žiadne dáta sú šifrované, takže nie údaje v JWT je citlivý a musia byť chránené.
Vzhľadom na tieto súvislosti, ako obnoviť a prístupový token, sú jednoduché JWT, ktoré môžu byť generované len držiteľ tajomstvo - ak sú vystavené môžu byť použité, aby sa škodlivé žiadosti, pokiaľ zostávajú v platnosti (nbf
pohľadávky).
V podstate tento typ JWT môže byť zneužitý, ak vystavený vydávať identity tajomstvo, ktoré podpísali JWT predstavuje bez toho, aby skutočne vedeli tajné sám, až kým nbf
nárok zaniká token - a obnoviť token je mechanizmus rozšíriť nbf
tvrdenie bez toho, tajomstvo (ktorá by mala za následok nové podpis, pretože nbf
nárok by sa zmenilo, keď sa používa).
Tam je jeden ochranu pred prístupový token, opätovné použitie, to je jednorazový kód nárok. Ak momentálne nie ste použiť jednorazový kód nárok si môžete prečítať o tom, ako OIDC zaviedli a urobiť on rovnaké vo vašej aplikácii. Ale ako hovoríte, vašu aplikáciu je bez štátnej príslušnosti, ale dúfajme, že slovník má formu štátu, v záujme č jednorazový kód opätovné použitie a zabrániť JWT podpis opätovné použitie. Pre každý jednorazový kód na JWT podpis zmeny, preto prístupový token, zmeny a môže byť použitá iba 1-čas. Takže ak ukradnuté to je závod stav, ktorý používa token prvý, čo výrazne minimalizuje riziko, ale nie je ideálne riešenie.