Come posso rendere più sicuri i token Web JWT JSON?

JSON Web Token

I token JWT sono recentemente diventati un metodo di autenticazione molto popolare nelle applicazioni Web. Mentre questo è uno dei modi più sicuri per proteggere le risorse, e non ci sono alternative sul mercato – tieni presente che ogni rosa ha picchi e ci sono molti rischi potenziali in agguato anche qui. Sono principalmente dovuti a errori di implementazione. Per proteggersi da loro, vale la pena attenersi alle seguenti regole:

  1. Assicurarsi di utilizzare chiavi di crittografia sufficientemente complesse di almeno 2048 bit.
  2. Creare una procedura in caso di perdita della chiave di crittografia.
  3. Le chiavi devono essere conservate in modo sicuro (ad esempio, non devono essere nel codice sorgente).
  4. Il server deve richiederlo a un metodo di firma specifico in modo che non possa essere modificato sul lato client.
  5. Verificare che l'implementazione non consenta l'algoritmo di firma "nessuno".
  6. Verificare che l'implementazione sia sicura di controllare la firma (non accetta una firma vuota e distingue tra le funzioni "verify()" e "decode()" ).
  7. Verificare che la modalità di debug sia disabilitata e non possa essere applicata sul lato client.
  8. Non inviare token JWT nell'URL.
  9. Verificare di non divulgare informazioni riservate nel token JWT.
  10. Assicurati di proteggerti da un attacco di replay.
  11. Verificare che la durata del token sia sufficientemente breve e che sia effettivamente controllata correttamente.
  12. Valutare se è necessaria o meno la funzione di invalidare i singoli token.

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!).
Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Aggiungi ai preferiti : permalink.

Podziel się swoją opinią na temat artykułu