मैं जेडब्ल्यूटी जेएसओएन वेब टोकन को अधिक सुरक्षित कैसे बनाता हूं?

जैसन वेब टोकन

JWT टोकन हाल ही में वेब अनुप्रयोगों में एक बहुत लोकप्रिय प्रमाणीकरण विधि बन गए हैं। हालांकि यह संसाधनों की रक्षा के लिए सबसे सुरक्षित तरीकों में से एक है, और बाजार पर कोई विकल्प नहीं है-ध्यान रखें कि हर गुलाब स्पाइक्स है और यहां भी कई संभावित जोखिम छिपे हुए हैं । वे मुख्य रूप से कार्यान्वयन त्रुटियों के कारण हैं। उनके खिलाफ गार्ड के लिए, यह निम्नलिखित नियमों से चिपके रहने लायक है:

  1. सुनिश्चित करें कि आप कम से कम 2048 बिट्स की पर्याप्त जटिल एन्क्रिप्शन कुंजी का उपयोग कर रहे हैं।
  2. एन्क्रिप्शन कुंजी के रिसाव के मामले में एक प्रक्रिया बनाएं।
  3. चाबियाँ एक सुरक्षित तरीके से संग्रहीत किया जाना चाहिए (उदाहरण के लिए वे स्रोत कोड में नहीं होना चाहिए)।
  4. सर्वर द्वारा एक विशिष्ट हस्ताक्षर विधि की आवश्यकता होनी चाहिए ताकि इसे क्लाइंट की ओर से बदला न जा सके।
  5. सत्यापित करें कि आपका कार्यान्वयन हस्ताक्षर एल्गोरिदम "कोई नहीं" की अनुमति नहीं देता है।
  6. सत्यापित करें कि आपका कार्यान्वयन हस्ताक्षर की जांच करना सुनिश्चित करता है (यह एक खाली हस्ताक्षर स्वीकार नहीं करता है और "सत्यापित ()) और "डिकोड ()) के कार्यों के बीच अंतर करता है।
  7. सत्यापित करें कि डिबग मोड अक्षम है और ग्राहक पक्ष पर लागू नहीं किया जा सकता है।
  8. यूआरएल में जेडब्ल्यूटी टोकन जमा न करें।
  9. सत्यापित करें कि आप जेडब्ल्यूटी टोकन में संवेदनशील जानकारी का खुलासा नहीं करते हैं।
  10. सुनिश्चित करें कि आप अपने आप को एक पुनरावृत्ति हमले से बचा रहे हैं ।
  11. सत्यापित करें कि टोकन का जीवनकाल पर्याप्त रूप से कम है और इसे वास्तव में सही ढंग से जांचा जाता है।
  12. विचार करें कि आपको व्यक्तिगत टोकन को अमान्य करने के कार्य की आवश्यकता है या नहीं।

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Bookmark the permalink.

Podziel się swoją opinią na temat artykułu