Стоит ли использовать json web tokens?

Question

Wasya UK @dmc1989

Стоит ли использовать json web tokens?

В процесе изучения node столкнулся с токенами. Стоит ли делать аутентификацию приложения основаную на них, ведь если получить секретную стору, то можно розшифрировать все пароли?

Вопрос задан более трёх лет назад
1033 просмотра

1 комментарий

Подписаться 4 Простой 1 комментарий

Пригласить эксперта

Ответы на вопрос 1

2 комментария

Wasya UK @dmc1989 Автор вопроса

Стоит ли использовать его для авторизации, или же лучше использовать salt + sha?

Написано более трёх лет назад
Alexander Leonchik @AlexanderMint
Wasya UK, да у них смысл разный, salt + sha служит для того что бы хранить например пароль в безопасном виде в базе, а при авторизации вводимый пароль пользователя так же хэшировать и сверять === т.е. авторизировать пользователя (в основном)

JWT нужен для того что бы аутентифицировать пользователя путем хранения идентификатора.

т.е. ты получил корректный логин/пароль от пользователя и возвращаешь ему JWT токен в котором хранишь например

{ "sub": "1234567890", "name": "John Doe", "iat": 1516239022 }

подписываешь этот токен секретным ключем который знаешь только ты и как итог возвращаешь ему JWT:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.3Ifx7N0uSiANG2fnqJneY6gjY9I4MMFxUE9tfRLhrgo

этот токен легко расшифровать например тут https://jwt.io

но верифицировать/подтвердить его (что он не изменен, что в него ничего не добавили) ты можешь только на сервере использую подпись. От примера ключ - secret_toster
Написано более трёх лет назад

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

JavaScript

+2 ещё

Средний
Проблемы с telegram bot, а именно с сообщениями, как исправить?
- 1 подписчик
- вчера
- 67 просмотров
1

ответ
Node.js

+1 ещё

Простой
Error during build: RollupError: Could not resolve. Как исправить ошибку?
- 1 подписчик
- 15 апр.
- 35 просмотров
2

ответа
JavaScript

+4 ещё

Простой
Что делать, если после залива приложения на VPS страница остается недоступной?
- 1 подписчик
- 15 апр.
- 84 просмотра
2

ответа
JavaScript

+2 ещё

Простой
Как на стороне сервера узнать что клиент закрыл браузер?
- 1 подписчик
- 13 апр.
- 168 просмотров
2

ответа
Node.js

Простой
Почему coverage в vitest не видит нужную версию node и падает?
- 1 подписчик
- 13 апр.
- 44 просмотра
1

ответ
Node.js

+1 ещё

Средний
Как подключиться к trust wallet при помощи node js?
- 1 подписчик
- 11 апр.
- 56 просмотров
1

ответ
Фронтенд

+1 ещё

Простой
Как понять токен рефрешится или нет?
- 1 подписчик
- 11 апр.
- 60 просмотров
1

ответ
Node.js

+1 ещё

Простой
Как загрузить в бакет Yandex Cloud файл, используя axios nodejs?
- 1 подписчик
- 11 апр.
- 35 просмотров
1

ответ
Node.js

+1 ещё

Простой
Почему prisma не делает миграцию?
- 1 подписчик
- 05 апр.
- 91 просмотр
0

ответов
Java

+2 ещё

Простой
Как создать jwt токен и подписать его приватным сертификатом по алгоритму RSA?
- 1 подписчик
- 04 апр.
- 73 просмотра
1

ответ
Показать ещё Загружается…

Node.js разработчик

ДАЛЕЕ • Москва

от 200 000 ₽

Senior Backend Developer Node.js

Radium Finance • Москва

от 300 000 до 400 000 ₽

Node.js Developer (middle)

ROBOTMIA • Новосибирск

от 130 000 ₽

Взлом автомобильной программы

19 апр. 2024, в 05:01

999999 руб./за проект

Доработать телеграм бота

19 апр. 2024, в 03:52

1000 руб./за проект

Написать код на python

19 апр. 2024, в 03:01

1000 руб./за проект

Артём Петренков, Просто прочитал это вот и задался вопросом
Поищем по словам express js jwt в Google и откроем первый материал в поисковой выдаче, руководство Сони Панди об аутентификации пользователей с применением JWT. К несчастью, этот материал нам ничем не поможет, так как в нём не используется Passport, но пока мы на него смотрим, отметим некоторые ошибки в хранении учётных данных:

Ключи JWT хранятся в виде обычного текста в GitHub-репозитории.

Для хранения паролей используется симметричный шифр. Это означает, некто может завладеть ключом шифрования и расшифровать все пароли. К тому же, тут наблюдаются неправильные взаимоотношения между ключом шифрования и секретным ключом JWT.
https://habrahabr.ru/company/ruvds/blog/335434/

Answer 1 · 2018-04-13 18:57:28

JWT это возможность подписать нужный тебе "текст", отдать кому то и проверить его (что он не был изменен) в дальнейшем когда он тебе придет обратно. Много проектов его используют, полет нормальный.

Пароли в нем не хранят, как и любую приватную информацию, ведь любой JWT можно просмотреть без ключа.
А утечка secret key это не проблема JWT, а вашей организации.

P.S. шифрование и JWT мало чем связанны, а ключ - это всего лишь подпись, его утечка ведет за собой возможность подделать токен

Стоит ли использовать json web tokens?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт