Dudas sobre token usando JWT

$francisco · Abril 18, 2018, 09:59:58 AM

Muy buenas a todos, tengo unas dudas sobre como usar correctamente los token, comento un poco lo que estoy haciendo.

Tengo una url para autentificacion auth0 ejemplo /login/ donde se reciven ya sea por el header o parametros post el usuario y la contraseña, si este es correcto se genera un token de aceso y otro de refresco donde para refrescar tengo /refresh/ para actualizar el de acceso, en el token de acceso se guarda un id que es guardado en redis con un usuario y contraseña por ejemplo

Código: python

db.__setItem__(key,value)

donde un caso real es

Código: python

db.__setItem__(id,{'username':'fran','password':'mi pass'})

entonces creo una url /protect/ donde uso JWT para que no pueda ser accedida sin tener un token de acceso valido, si es valido el token se descodifica y obtiene el id, con este id se mira en redis para obtener el usuario y contraseña y no tener que volver a pedir las credenciales solamente en la autentificacion pero tengo una duda
¿si alguien obtiene mi token de acceso puede acceder a la url protegida? de ser asi ¿como puedo evitarlo?

#🍊 · Abril 18, 2018, 04:39:50 PM

No, claro que no siempre en cuando puedas 'setear' (configurar) un tiempo de expiración para cada JWT.

Y mi ultimo consejo es que la firma (Signature) sea de 8 caracteres para arriba. Con eso basta. (;

Dudas sobre token usando JWT

$francisco

Abril 18, 2018, 09:59:58 AM Ultima modificación: Abril 18, 2018, 11:26:12 AM por Gabriela

#🍊

Abril 18, 2018, 04:39:50 PM #1