DR
А если, как многие выдать токен, и его не валидировать, то будет то что будет, спиздят токен и будту с ним ходить.
Size: a a a
2020 January 10
NV
если соблюдаются спецификации JWT, и правильно хеширован HMAC то нет .
почему нет?
если левый js получит токен?
если левый js получит токен?
DR
Потому что в HMAC будет другой IP и система не авторизует запрос с другого IP потомучто хеш не совпдаёт
PM
Потому что в HMAC будет другой IP и система не авторизует запрос с другого IP потомучто хеш не совпдаёт
А если IP юзера не статический что будет происходить?
AL
Ну тут вроде как IP не обойдешься, да. Все равно секрет нужен. Который опять же нужно хранить где-то в защищенном месте.
AL
Та же кука, если говорить про браузер.
AL
Профит только в том, что если утащат токен, то можно инвалидировать его и оставить секрет. Меня терзает смутное сомнение, что мы тоже самое обсуждали здесь же с год назад )
SS
Разговоры о вечном
PM
Ну тут вроде как IP не обойдешься, да. Все равно секрет нужен. Который опять же нужно хранить где-то в защищенном месте.
я про то что если у юзера IP меняется каждый день, то получается что JWT не авторизует его?
AL
Да никто так не считает HMAC на JWT
AL
Ну я не видел по крайней мере, может кто-то и считает внутри сетки где гарантирован IP
PM
Профит только в том, что если утащат токен, то можно инвалидировать его и оставить секрет. Меня терзает смутное сомнение, что мы тоже самое обсуждали здесь же с год назад )
даже в этом году кажется)
SS
И ещё если он с мобилки перешёл с вайфая на LTE
PM
Да никто так не считает HMAC на JWT
я лишь комментирую что что пишут)
DR
А если IP юзера не статический что будет происходить?
В рамках одной сесси айпи юзера "статический", будет просиходит то что написан в требованиях по безопасности реализации этого функицонала, если написано ресетиь сессию значит будет ресетиься сессия
PM
В рамках одной сесси айпи юзера "статический", будет просиходит то что написан в требованиях по безопасности реализации этого функицонала, если написано ресетиь сессию значит будет ресетиься сессия
Смотря что считать сессий. Переключение с WiFi на LTE это одна сессия?
DR
Все верно, - смотря что написано в документации к твоему проекту.
PM
Все верно, - смотря что написано в документации к твоему проекту.
Просто если при смене IP авторизация не слетает, тогда актуален становится вопрос озвученный выше, а если слетает, тогда появляются проблемы с динамическими IP
DR
Это вопрос защиты, IP это один из способов, и проверять его можно разными способами, что если айпи изменилося, но мы будем позволять сессии жить если IP поменялся на айпи из тойже , страны,региона итд ? Вариантов масса.