มันปลอดภัยที่จะเปิดเผย refreshtoken รูปแบบ api

Question 1

ฉันต้องการพัฒนาโปรแกรมโดยใช้ตอบโต้ในหน้าสุดแล้ว ASP.Net บนเว็บรูปแบบ api ในโปรแกรมเบื้องหลัง. ฉันใช้ JWT สำหรับใช้ตรวจสอบสิทธิ์ ที่โพรเซส

ตอนที่ผู้ใช้บันทึกของและเป็นการตรวจสอบสิทธิ์ 2 กม.สัญลักษณ์ถูกส่งไปที่หน้าสุดตรวจสอบตั๋วเข้าใช้งานและปรับปรุงรับตั๋วตัว. การเข้าใช้งานระลึกคือ JWT และ refreshes ตั๋วเข้าใช้งานเป็นการสุ่มข้อความและปรับปรุงสัญลักษณ์ที่ถูกเก็บไว้ในฐานข้อมูล
สำหรับทุกต่อมาเรียกให้ APIs เข้าใช้งานระลึกคือติดอยู่ในส่วนหัวฉันต้องการการตรวจสอบสิทธิ์ของตัวกรองนั่น validates รเข้าใช้งานระลึก.
เมื่อใช้งานตั๋วตัวหมดอายุเป็น 401 สถานะเป็นทิ้งด้วยข้อผิดพลาดข้อความ TokenExpired.
ครั้งหน้าจอย่างเราได้รับคำขู่แบบนี้ 401 มันเรียกว่าปรับปรุงตั๋วเข้าใช้งานรูปแบบ api ต้องไปปรับปรุงระลึก

คำถามที่ฉันมีคือฉันไม่สามารถมีการตรวจสอบสิทธิ์ของตัวกรองเพื่อพิสูจน์ความถูกต้องของการสิ่งที่แสดงสัญลักษณ์ปรับปรุงรูปแบบ api ที่จะโยน 401 เนื่องจากที่หมดอายุแล้วเข้าใช้งานระลึกดังนั้นฉันต้องการจะปรับปรุงตั๋วเข้าใช้งานรูปแบบ api ที่จะไม่ระบุชื่อดังนั้นมันไม่ชการตรวจสอบสิทธิ์ของตัวกรอง ถ้าฉันทำให้ระบุชื่อไม่ฉันกำลังชดเชยวันคืนโทรไปที่ฐานข้อมูลจะต้องไปที่ปรับปรุงรับตั๋วตัวเก็บไว้สำหรับผู้ใช้และเปรียบเทียบมันกับคนที่ฉันได้รับจากหน้าอยู่แล้ว ดังนั้นมันปลอดภัยที่จะให้ปรับปรุงตั๋วเข้าใช้งานรูปแบบ api ระบุชื่อไม่ถ้าไม่ใช่วิธีที่ดีที่สุด?

Question 2

ตอน Auth0,สร้างการตั้งค่าของคุณสมบัติต่างๆที่กลบเกลื่อนที่ความเสี่ยงที่เกี่ยวข้องกับการใช้สัญลักษณ์ปรับปรุงโดย imposing หลักประกันและควบคุมพวกเขา lifecycle. ของเราตัวตนแพลตฟอร์มข้อเสนอปรับปรุงรับตั๋วตัวการหมุนซึ่งก็มาพร้อมกับอัตโนมัติ reuse การตรวจสอบ

ได้โปรดอ่านคอยตามเรื่อง

ปรับปรุงรับตั๋วตัวการหมุน

ปรับปรุงสัญลักษณ์อัตโนมัติ Reuse การตรวจสอบ

Question 3

ที่ JWT คือเซ็นใช้ preshared ความลับกุญแจ ตั้งแต่มันเป็นที่เหลือรูปแบบ api อยู่ในที่ปรับแต่งโปรแกรมเบื้องหลังและ stateless,jwt จะถูกใช้สำหรับการตรวจสอบสิทธิ์และสร้างครูใหญ่วัตถุ

อย่างที่คุณพูดว่าการเข้าใช้ตั๋วเข้าใช้งานเป็นตัวแทนของ authorisation ในโปรแกรมของคุณถ้าปรับปรุงรับตั๋วเข้าใช้งานถูกเปิดเผยออกมาแล้วก็ปรับปรุงรับตั๋วเข้าใช้งานได้ถูกเสนอโดยไม่ดีนักแสดงเพื่อรับทุนการระลึกพวกเขาสามารถใช้สำหรับเดียวกัน authorisation.

ใช้'preshared นความลับเพแสดงให้เห็นว่า JWT เป็น HMAC เดียวที่ผังย่อยของ JWT,i.e. ไม่มีการเข้ารหัสที่นั่นจะบ่งชี้ถึงส่วนตัวและกุญแจสาธารณะคู่ต่างกัน preshared ความลับ'. ดังนั้น JWT คือพื้นฐานแล้วเป็นลายเซ็นสำหรับ puposes นรักษาความปลอดภัยที่มีลักษณะเรา ensuring ความซื่อตร งนั้นที่ว่างของ JWT เป็นได้ก่อตั้งขึ้นและไม่ถูกเปลี่ยนแปลงตั้งแต่ลงนามของท่านไว้แล้ว มันก็หมายความว่าเดียวกับความลับสำหรับใช้เซ็นหนึ่งจุดจบที่ถูกใช้เพื่อตรวจสอบกับจุดจบเหมือนกันความลับจะต้องเป็นเคยเพราะว่าตรวจสอบการเป็นลายเซ็นต้องการมันทั้งสองจบการสร้างลายเซ็นต์และทั้งสองขอลายเซ็นตรงกัน ดังนั้นจึงไม่มีข้อมูลที่ถูกเข้ารหัสดังนั้นไม่ใช่ข้อมูลใน JWT เป็นอ่อนไหนและต้องได้รับการคุ้มครอง

ข้อคอนเท็กซ์ทั้งสองคนและปรับปรุงใช้งานระลึกเป็นแบบ JWT ที่สามารถจะถูกสร้างขึ้นโดยบังของความลับ-ถ้าพวกเขาเปิดเผยพวกเขาสามารถใช้เพื่อทำให้คิดร้ายขอร้องให้นานเท่าที่พวกเขายังคงใช้ได้(nbf สิทธิ์).

โดยพื้นฐานนี้ประเภทของ JWT สามารถเป็น misused หากเปิดเผยให้เล่นละครสวมรอยเป็นตัวตนความลับที่เซ็น JWT เป็นตัวแทน,นราบรื่นดีโดยที่ไม่ได้รู้ความลับตัวมันเองจนกระทั่ง nbf อ้างว่าจะหมดอายุบตั๋วเข้าใช้งานและปรับปรุงรับตั๋วเข้าใช้งานเป็นกลไกของมันจะขยายอายุของ nbf อ้างว่าไม่มีความลับ(ซึ่งจะถูกลายเซ็นต์ใหม่เพราะ nbf อ้างว่ามันจะเปลี่ยนไปตอนที่เคย).

นั่นเป็นหนึ่งในการคุ้มครองจากการเข้าถึงระลึก reuse มันเป็น nonce ล่าวอ้าง ถ้าคุณไม่อยู่ในปัจจุบันใช้กา nonce อ้างว่าคุณสามารถอ่านเกี่ยวกับวิธี OIDC ต้องการจัดเตรียมไว้แล้วทำอย่างเขาคนเดียวกันในของแอพ แต่อย่างที่คุณพูดของคุณโปรแกรคือ stateless แต่หวังว่างปรับแต่งโปรแกรมเบื้องหลัมีรูปแบบของรัฐเพื่อให้แน่ใจว่าไม่มี nonce reuse และป้องกัน JWT ลายเซ็น reuse. สำหรับทุก nonce ที่ JWT ลายเซ็นต์เปลี่ยนแปลงเพราะฉะนั้นที่เข้าถึงระลึกเปลี่ยนแปลงและสามารถใช้เพียง 1 กับผู้ชายคนหนึ่ง ดังนั้นถ้าขโมยมันคือการแข่งขันสภาพที่ใช้บตั๋วเข้าใช้งานก่อนซึ่ง greatly minimises ความเสี่ยงแต่ไม่ใช่ตอบที่สมบูรณ์แบบ.

Maksud · Answer 1 · 2021-11-24T05:56:21

ตอน Auth0,สร้างการตั้งค่าของคุณสมบัติต่างๆที่กลบเกลื่อนที่ความเสี่ยงที่เกี่ยวข้องกับการใช้สัญลักษณ์ปรับปรุงโดย imposing หลักประกันและควบคุมพวกเขา lifecycle. ของเราตัวตนแพลตฟอร์มข้อเสนอปรับปรุงรับตั๋วตัวการหมุนซึ่งก็มาพร้อมกับอัตโนมัติ reuse การตรวจสอบ

ได้โปรดอ่านคอยตามเรื่อง

ปรับปรุงรับตั๋วตัวการหมุน

ปรับปรุงสัญลักษณ์อัตโนมัติ Reuse การตรวจสอบ

เรากำลังทำอะไรอยู่เป็นของปรับปรุงรับตั๋วตัวการหมุน. ตอนใหม่เข้าใช้งานระลึกเรียกร้องเราพิสูจน์ความถูกต้องของกับการปรับปรุงใหม่ตั๋วเข้าใช้งานและเพื่อนใหม่เข้าใช้งานระลึกและใหม่ปรับปรุงรับตั๋วเข้าใช้งานและปรับปรุงตั๋วตัวปรับปรุงในฐานข้อมูล แต่ฉันไม่คิดว่าเราสามารถจะจัดเก็บรายการทั้งหมดปรับปรุงสัญลักษณ์ที่ถูกสร้างแล้วที่พูดถึงอยู่ในอัตโนมัติ reuse การตรวจสอบ

Stof · Answer 2 · 2021-11-24T09:11:17

ที่ JWT คือเซ็นใช้ preshared ความลับกุญแจ ตั้งแต่มันเป็นที่เหลือรูปแบบ api อยู่ในที่ปรับแต่งโปรแกรมเบื้องหลังและ stateless,jwt จะถูกใช้สำหรับการตรวจสอบสิทธิ์และสร้างครูใหญ่วัตถุ

อย่างที่คุณพูดว่าการเข้าใช้ตั๋วเข้าใช้งานเป็นตัวแทนของ authorisation ในโปรแกรมของคุณถ้าปรับปรุงรับตั๋วเข้าใช้งานถูกเปิดเผยออกมาแล้วก็ปรับปรุงรับตั๋วเข้าใช้งานได้ถูกเสนอโดยไม่ดีนักแสดงเพื่อรับทุนการระลึกพวกเขาสามารถใช้สำหรับเดียวกัน authorisation.

ใช้'preshared นความลับเพแสดงให้เห็นว่า JWT เป็น HMAC เดียวที่ผังย่อยของ JWT,i.e. ไม่มีการเข้ารหัสที่นั่นจะบ่งชี้ถึงส่วนตัวและกุญแจสาธารณะคู่ต่างกัน preshared ความลับ'. ดังนั้น JWT คือพื้นฐานแล้วเป็นลายเซ็นสำหรับ puposes นรักษาความปลอดภัยที่มีลักษณะเรา ensuring ความซื่อตร งนั้นที่ว่างของ JWT เป็นได้ก่อตั้งขึ้นและไม่ถูกเปลี่ยนแปลงตั้งแต่ลงนามของท่านไว้แล้ว มันก็หมายความว่าเดียวกับความลับสำหรับใช้เซ็นหนึ่งจุดจบที่ถูกใช้เพื่อตรวจสอบกับจุดจบเหมือนกันความลับจะต้องเป็นเคยเพราะว่าตรวจสอบการเป็นลายเซ็นต้องการมันทั้งสองจบการสร้างลายเซ็นต์และทั้งสองขอลายเซ็นตรงกัน ดังนั้นจึงไม่มีข้อมูลที่ถูกเข้ารหัสดังนั้นไม่ใช่ข้อมูลใน JWT เป็นอ่อนไหนและต้องได้รับการคุ้มครอง

ข้อคอนเท็กซ์ทั้งสองคนและปรับปรุงใช้งานระลึกเป็นแบบ JWT ที่สามารถจะถูกสร้างขึ้นโดยบังของความลับ-ถ้าพวกเขาเปิดเผยพวกเขาสามารถใช้เพื่อทำให้คิดร้ายขอร้องให้นานเท่าที่พวกเขายังคงใช้ได้(nbf สิทธิ์).

โดยพื้นฐานนี้ประเภทของ JWT สามารถเป็น misused หากเปิดเผยให้เล่นละครสวมรอยเป็นตัวตนความลับที่เซ็น JWT เป็นตัวแทน,นราบรื่นดีโดยที่ไม่ได้รู้ความลับตัวมันเองจนกระทั่ง nbf อ้างว่าจะหมดอายุบตั๋วเข้าใช้งานและปรับปรุงรับตั๋วเข้าใช้งานเป็นกลไกของมันจะขยายอายุของ nbf อ้างว่าไม่มีความลับ(ซึ่งจะถูกลายเซ็นต์ใหม่เพราะ nbf อ้างว่ามันจะเปลี่ยนไปตอนที่เคย).

นั่นเป็นหนึ่งในการคุ้มครองจากการเข้าถึงระลึก reuse มันเป็น nonce ล่าวอ้าง ถ้าคุณไม่อยู่ในปัจจุบันใช้กา nonce อ้างว่าคุณสามารถอ่านเกี่ยวกับวิธี OIDC ต้องการจัดเตรียมไว้แล้วทำอย่างเขาคนเดียวกันในของแอพ แต่อย่างที่คุณพูดของคุณโปรแกรคือ stateless แต่หวังว่างปรับแต่งโปรแกรมเบื้องหลัมีรูปแบบของรัฐเพื่อให้แน่ใจว่าไม่มี nonce reuse และป้องกัน JWT ลายเซ็น reuse. สำหรับทุก nonce ที่ JWT ลายเซ็นต์เปลี่ยนแปลงเพราะฉะนั้นที่เข้าถึงระลึกเปลี่ยนแปลงและสามารถใช้เพียง 1 กับผู้ชายคนหนึ่ง ดังนั้นถ้าขโมยมันคือการแข่งขันสภาพที่ใช้บตั๋วเข้าใช้งานก่อนซึ่ง greatly minimises ความเสี่ยงแต่ไม่ใช่ตอบที่สมบูรณ์แบบ.

มันปลอดภัยที่จะเปิดเผย refreshtoken รูปแบบ api

คำถาม

ในภาษาอื่นๆ

หน้านี้อยู่ในภาษาอื่นๆ

ดังอยู่ในนี้หมวดหมู่

ดังคำถามอยู่ในนี้หมวดหมู่