MC
Ок, написал в ЛС
Size: a a a
2019 December 11
2019 December 12
GC
є тут хтось, хто добре розбирається в JSON web tokens? не розумію навіщо потрібна ніяк не захищена інфа в payload, якщо все це вже є в signature?
AL
є тут хтось, хто добре розбирається в JSON web tokens? не розумію навіщо потрібна ніяк не захищена інфа в payload, якщо все це вже є в signature?
payload можна засунути все що завгодно, це не регулюється спекою JWT
VY
Signature включає підпис ключем і слугує для того, щоб перевірити, що решта іниомації правдива
AL
JWT виник не як спосіб авторизації, а як спосіб перевірки достовірності авторства повідомлення. В пейлоаді якраз повідомлення і передається
GC
тобто в signature ми не задублюємо payload, а тільки один ключ з нього? перевіряємо, все ок, значить можна взяти решту з payload, так?
AL
пейлод може бути взагалі пустим обєктом
VY
Тобто сам по собі signature розшифрувати не можна (можу помилятися). Але знаючи алгоритм його генерації і секретний ключ можна перевірити коректність інших полів зашифрувавши їх ще раз
GC
Anton Lempiy
пейлод може бути взагалі пустим обєктом
о, так буде секюрніше, наприклад якщо мені треба в jwt передати тільки одне поле і воно сенсітів
VY
Але цікава думка
IT
о, так буде секюрніше, наприклад якщо мені треба в jwt передати тільки одне поле і воно сенсітів
у вас HTTP или HTTPS?
GC
у вас HTTP или HTTPS?
https
IT
тогда вообще насрать
AL
в жвт 3 куска - claims, payload i signature. - signature - це по суті хеш сума двох інших кусків зашешована з використанням secret key
AL
claims має стандартні поля визначені спекою https://tools.ietf.org/html/rfc7519#section-4 і кастомні якщо такі потрібні
GC
Anton Lempiy
в жвт 3 куска - claims, payload i signature. - signature - це по суті хеш сума двох інших кусків зашешована з використанням secret key
да, мене турбує фраза хеш сума, вона наче каже про дублювання в signature усього payload
AL
да, мене турбує фраза хеш сума, вона наче каже про дублювання в signature усього payload
так і є, це потрібно щоб валідувати що зловмисник не змінив текст повідомлення
AL
при транспортуванні
AL
використовується односторонній хеш