Dudas sobre token usando JWT

  • 1 Respuestas
  • 1695 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado $francisco

  • *
  • Underc0der
  • Mensajes: 194
  • Actividad:
    0%
  • Actividad:
    0%
  • Reputación 0
  • Skype: hackloper
    • Ver Perfil
    • Email

Dudas sobre token usando JWT

  • en: Abril 18, 2018, 09:59:58 am
Muy buenas a todos, tengo unas dudas sobre como usar correctamente los token, comento un poco lo que estoy haciendo.

Tengo una url para autentificacion auth0 ejemplo /login/ donde se reciven ya sea por el header o parametros post el usuario y la contraseña, si este es correcto se genera un token de aceso y otro de refresco donde para refrescar tengo /refresh/ para actualizar el de acceso, en el token de acceso se guarda un id que es guardado en redis con un usuario y contraseña por ejemplo
Código: (python) [Seleccionar]
db.__setItem__(key,value) donde un caso real es
Código: (python) [Seleccionar]
db.__setItem__(id,{'username':'fran','password':'mi pass'})entonces creo una url /protect/ donde uso JWT para que no pueda ser accedida sin tener un token de acceso valido, si es valido el token se descodifica y obtiene el id, con este id se mira en redis para obtener el usuario y contraseña y no tener que volver a pedir las credenciales solamente en la autentificacion pero tengo una duda
¿si alguien obtiene mi token de acceso puede acceder a la url protegida? de ser asi ¿como puedo evitarlo?
« Última modificación: Abril 18, 2018, 11:26:12 am por Gabriela »

Desconectado #🍊

  • *
  • Underc0der
  • Mensajes: 39
  • Actividad:
    0%
  • Actividad:
    0%
  • Reputación 1
  • TheWAV.s
    • Ver Perfil

Re:Dudas sobre token usando JWT

  • en: Abril 18, 2018, 04:39:50 pm
No, claro que no siempre en cuando puedas 'setear' (configurar) un tiempo de expiración para cada JWT.

Y mi ultimo consejo es que la firma (Signature) sea de 8 caracteres para arriba. Con eso basta. (;