AL
тобто розшифрувати це повідомлення неможна (в ідеалі)
Size: a a a
2019 December 12
VY
О, тоді я не помилився
AL
Якщо ви використовуєте JWT для авторизації, то краще в ньому передавати лише данні необхідні для авторизації(ACL і т п)
VY
В такому разі для авторизації, коли ти отримуєш токен у форматі JWT, на сервері маючи тільки токен можна перевірити, чи ти дійно та/той, за кого себе видаєш.
Сервер шифрує підпис своїм ключем і потім за його ж допомогою перевіряє, шифруючи твоє повідомлення ще раз тим же ключем і потім звіряючи, чи його контрольний підпис збігається з отриманим
Сервер шифрує підпис своїм ключем і потім за його ж допомогою перевіряє, шифруючи твоє повідомлення ще раз тим же ключем і потім звіряючи, чи його контрольний підпис збігається з отриманим
AL
В такому разі для авторизації, коли ти отримуєш токен у форматі JWT, на сервері маючи тільки токен можна перевірити, чи ти дійно та/той, за кого себе видаєш.
Сервер шифрує підпис своїм ключем і потім за його ж допомогою перевіряє, шифруючи твоє повідомлення ще раз тим же ключем і потім звіряючи, чи його контрольний підпис збігається з отриманим
Сервер шифрує підпис своїм ключем і потім за його ж допомогою перевіряє, шифруючи твоє повідомлення ще раз тим же ключем і потім звіряючи, чи його контрольний підпис збігається з отриманим
Так і є, по факту не супер крута в плані безпеки штука, але основний плюс в тому що stateless.
GC
так, тоді я знов нічого не розумію. дивіться, така ситуація: оплатна система у випадку успішної оплати редіректить юзера на мене з jwt в кінці урли, я його розбираю, маю якось перевірити і в разі якщо токен дійсний, виконувати наступні дії. я не розумію яким чином відбувається перевірка. спершу мені здалося, що я маю декодувати signature, порівняти з payload, взяти потрібні мені дані звідти і фігачити. якщо signature неможливо декодувати, то як все це відбувається?
SP
є тут хтось, хто добре розбирається в JSON web tokens? не розумію навіщо потрібна ніяк не захищена інфа в payload, якщо все це вже є в signature?
JWT это не про сенсетив дата его прочитать можно без ключа и это так задумано есть более сложные реализации где пайлоад шифруется если это необходимо
VY
Anton Lempiy
Так і є, по факту не супер крута в плані безпеки штука, але основний плюс в тому що stateless.
Як на мене, цілком безпечно. Які можуть бути проблеми?
AL
Як на мене, цілком безпечно. Які можуть бути проблеми?
AL
холі вара по цьому приводу багато
AL
не так багато як хоча б за 1 день в ФЕ, але все ж
GC
так, тоді я знов нічого не розумію. дивіться, така ситуація: оплатна система у випадку успішної оплати редіректить юзера на мене з jwt в кінці урли, я його розбираю, маю якось перевірити і в разі якщо токен дійсний, виконувати наступні дії. я не розумію яким чином відбувається перевірка. спершу мені здалося, що я маю декодувати signature, порівняти з payload, взяти потрібні мені дані звідти і фігачити. якщо signature неможливо декодувати, то як все це відбувається?
то як відбувається перевірка токена?
AL
так, тоді я знов нічого не розумію. дивіться, така ситуація: оплатна система у випадку успішної оплати редіректить юзера на мене з jwt в кінці урли, я його розбираю, маю якось перевірити і в разі якщо токен дійсний, виконувати наступні дії. я не розумію яким чином відбувається перевірка. спершу мені здалося, що я маю декодувати signature, порівняти з payload, взяти потрібні мені дані звідти і фігачити. якщо signature неможливо декодувати, то як все це відбувається?
Для того аби перевірити токен твій бекенд повинен мати secret key який юзався для створення цього JWT
AL
Крім того в JWT в claims лежить поле alg яке описує алгоритм шифрування для цього ключа
AL
знаючи і алгоритм і ключ можна первірити валідність
GC
ну да, так а чого ж ви кажете що signature неможливо розшифрувати?
AL
валідувати на FE таку байду точно не потрібно
AL
неможливо
GC
Anton Lempiy
валідувати на FE таку байду точно не потрібно
це буде на контроллері
AL
В такому разі для авторизації, коли ти отримуєш токен у форматі JWT, на сервері маючи тільки токен можна перевірити, чи ти дійно та/той, за кого себе видаєш.
Сервер шифрує підпис своїм ключем і потім за його ж допомогою перевіряє, шифруючи твоє повідомлення ще раз тим же ключем і потім звіряючи, чи його контрольний підпис збігається з отриманим
Сервер шифрує підпис своїм ключем і потім за його ж допомогою перевіряє, шифруючи твоє повідомлення ще раз тим же ключем і потім звіряючи, чи його контрольний підпис збігається з отриманим