คำถามติดแท็ก jwt

ฉันไม่เข้าใจเหตุผลที่ทำให้การเรียกร้อง / น้ำหนักบรรทุกของ JWT เปิดเผยต่อสาธารณชนหลังจาก base64 ถอดรหัส ทำไม? ดูเหมือนว่ามันจะมีประโยชน์มากกว่าที่จะเข้ารหัสด้วยความลับ บางคนสามารถอธิบายได้ว่าทำไมหรือในสถานการณ์ใดการทำให้ข้อมูลนี้เป็นประโยชน์ต่อสาธารณะ

30 security  json  authentication  jwt 

เรากำลังพยายามหาวิธีที่ดีที่สุดในการอนุญาตผู้ใช้ในสถาปัตยกรรม microservice ในขณะที่มั่นใจว่า microservices มีสิทธิ์ จำกัด สถาปัตยกรรมของเราใช้บริการการอนุญาตจากส่วนกลางเพื่อจัดการการออกโทเค็น JWT เรามีข้อกำหนดดังต่อไปนี้: ผู้ใช้ควรถูก จำกัด ให้ดำเนินบทบาทบางอย่าง เช่นผู้ใช้ควรสามารถสร้าง / แก้ไข / อ่านเนื้อหาที่เขาเป็นเจ้าของได้เท่านั้น Microservices ควร จำกัด เฉพาะการอนุญาตที่จำเป็นเท่านั้น เช่นบริการไมโครเว็บที่เพียงต้องการอ่านข้อมูลจากบริการอื่นควรถูกห้ามอย่างชัดเจนจากการเขียนข้อมูลไปยังบริการนั้น ตัวอย่างเช่นสมมติว่าเรามีระบบที่ผู้ใช้สามารถอัปโหลดรูปภาพไปยังบริการเก็บรูปภาพ เรามีบริการติดแท็กที่ติดแท็กรูปภาพด้วยตำแหน่งโดยอัตโนมัติ ผู้ใช้สามารถ CRUD ภาพของตัวเอง บริการติดแท็กสามารถอ่านภาพใด ๆ จากบริการเก็บรูปภาพอย่างไรก็ตามไม่ควรแก้ไข / ลบ เป็นวิธีที่ดีในการบรรลุเป้าหมายข้างต้นโดยใช้โทเค็น JWT คืออะไร? วิธีแก้ปัญหาบางอย่างที่เรากล่าวถึงคือ: บริการเก็บรูปภาพแสดง 2 APIs หนึ่งที่พร้อมใช้งานภายนอก (ให้สิทธิ์การเข้าถึง CRUD ผู้ใช้) และอีกหนึ่งที่พร้อมใช้งานภายใน (ให้การเข้าถึงแบบอ่านอย่างเดียวภายใน) ดูเหมือนว่าไม่ยืดหยุ่น - จะเกิดอะไรขึ้นถ้าบริการภายในอื่นต้องการการเข้าถึงเพื่ออ่าน / เขียนภาพทั้งหมด …

13 security  microservices  jwt 

ฉันต้องการใช้บริการการพิสูจน์ตัวตนที่มีประสิทธิภาพมากขึ้นและjwtเป็นส่วนใหญ่ของสิ่งที่ฉันต้องการทำและฉันเข้าใจวิธีการเขียนรหัส แต่ฉันมีปัญหาเล็กน้อยในการทำความเข้าใจความแตกต่างระหว่างการสงวนissและการaudเรียกร้อง ฉันเข้าใจว่าเซิร์ฟเวอร์หนึ่งกำหนดเซิร์ฟเวอร์ที่ใช้งานโทเค็นและเซิร์ฟเวอร์หนึ่งอ้างถึงแอปพลิเคชันที่มีไว้สำหรับการใช้งาน แต่วิธีที่ฉันเข้าใจว่าผู้ชมและผู้ออกของฉันเป็นสิ่งเดียวกันmyserver.comคือการออกโทเค็นเพื่อให้ผู้ที่มาmyserver.comสามารถได้รับอนุญาตและรับรองความถูกต้อง ฉันเดาว่าฉันไม่เห็นความแตกต่างระหว่างการอ้างสิทธิ์ทั้งสองแม้ว่าฉันจะรู้ว่ามีอยู่ก็ตาม มีบทความที่ดีเขียนอยู่ที่msdn ในการอ้างสิทธิ์ที่สงวนไว้ทั้งหมดและนั่นคือสิ่งที่ฉันสับสนมากที่สุดเพราะพวกเขามี บริษัท ผู้ออกหลักทรัพย์และผู้ชมต่างกันโดยสิ้นเชิง

13 security  authentication  authorization  jwt 

ฉันกำลังอ่านการพิสูจน์ตัวตน / การอนุญาตในเว็บแอปพลิเคชัน ใครช่วยยืนยัน / แก้ไขความรู้ปัจจุบันของฉันได้ไหม คุกกี้: ในเวอร์ชันเริ่มต้นของพวกเขาไฟล์ข้อความที่มีลูกค้าที่ไม่ซ้ำกัน Id ข้อมูลอื่น ๆ ที่จำเป็นเกี่ยวกับลูกค้า (เช่นบทบาท) เซสชัน: เฉพาะรหัสลูกค้าที่ไม่ซ้ำกันเท่านั้นที่ถูกส่งในไฟล์ (เรียกอีกอย่างว่าคุกกี้) ทุกอย่างจะถูกเก็บไว้บนเซิร์ฟเวอร์ JWT: ทุกอย่างถูกเก็บไว้ในโทเค็น (ซึ่งอาจถูกเก็บไว้ในไฟล์ข้อความซึ่งเรียกอีกอย่างว่าคุกกี้) ขอบคุณสำหรับความคิดเห็นใด ๆ !

12 authentication  authorization  session  cookies  jwt 

ข้อมูลเกี่ยวกับสิทธิ์และบทบาทของลูกค้าควรรวมอยู่ใน JWT หรือไม่? การมีข้อมูลดังกล่าวในโทเค็น JWT จะมีประโยชน์มากเพราะทุกครั้งที่โทเค็นที่ถูกต้องมาถึงมันจะง่ายกว่าในการดึงข้อมูลเกี่ยวกับการอนุญาตเกี่ยวกับผู้ใช้และจะไม่จำเป็นต้องเรียกฐานข้อมูลเหมือนกัน แต่การรวมข้อมูลดังกล่าวและไม่ตรวจสอบซ้ำสองครั้งในฐานข้อมูลจะเป็นปัญหาด้านความปลอดภัยหรือไม่ หรือ, ข้อมูลอย่างที่กล่าวถึงข้างต้นไม่ควรเป็นส่วนหนึ่งของ JWT และควรใช้เฉพาะฐานข้อมูลเพื่อตรวจสอบบทบาทการเข้าถึงและการอนุญาตของผู้ใช้หรือไม่

9 security  authentication  jwt