Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena
Starija izmjena
racfor_wiki:json_web_token [2021/01/17 21:45]
mrezo [Sigurnosni aspekt]
racfor_wiki:json_web_token [2023/06/19 18:17] (trenutno)
Redak 1: Redak 1:
-====== Naslov ======+====== JSON Web Token (JWT) ======
  
 ===== Sažetak ===== ===== Sažetak =====
  
-How do you write an abstract? Identify your purposeYou're writing about a correlation between lack of lunches in schools and poor grades. … Explain the problem at hand. Abstracts state the “problem” behind your work. … Explain your methods. … ([[https://www.aje.com/arc/make-great-first-impression-6-tips-writing-strong-abstract/|Source]]) Save your work regularly!!! Describe your results (informative abstract only). … Abstract should be no longer that 400 words. Napomena: sadržaj na vrhu stranice generira se automatski na temelju naslova dokumentu.+JSON Web Token je otvoreni standard predstavljen u 2010godini, kojim je definiran način za siguran i pouzdan prijenos informacija između dvije ili više strana, najviše se koristi za autorizaciju korisnika u servisima koji ne čuvaju stanje (engl. //stateless service//). Podaci se spremaju obliku JSON objekata koji se digitalno potpisuju te time čuvaju integritet informacija koje se u njima nalaze. JWT je jednostavan a relativno siguran način autorizacije korisnika, međutim, kao i mnogi drugi sustavi autorizacije, podložan je napadima. Najčešći su oni koji iskorištavaju ranjivosti nastale neznanjem i nestručnosti izvođača prilikom izrade aplikacije.
  
-Keywordsabstractbastractastractretract; tractor+Ključne riječijwtjson web tokenautorizacija;
 ===== Uvod ===== ===== Uvod =====
-JSON Web Token je otvoreni standard predstavljen u 2015. godini, kojim je definiran način za siguran i pouzdan prijenos informacija između dvije ili više strana. Podaci se spremaju u obliku JSON objekta te se zatim ta struktura koristi za digitalno potpisivanje (JWS - JSON Web Signature) kako bi sačuvali autentičnost i integritet podataka. Iako se tokeni mogu još dodatno i kriptirati, češća je upotreba bez eksplicitne enkripcije, s obzirom na to da se najčešće prenose putem HTTP(S) protokola. na kojem se, barem za potrebe autorizacije i autentifikacije, koristi enkripcija za razmjenu podataka. JSON Web tokeni se dakle najviše koriste za:+JSON Web Token je otvoreni standard predstavljen u 2010. godini, kojim je definiran način za siguran i pouzdan prijenos informacija između dvije ili više strana. Podaci se spremaju u obliku JSON objekta te se zatim ta struktura koristi za digitalno potpisivanje (JWS - JSON Web Signature) kako bi sačuvali autentičnost i integritet podataka. Iako se tokeni mogu još dodatno i kriptirati, češća je upotreba bez eksplicitne enkripcije, s obzirom na to da se najčešće prenose putem HTTP(S) protokola. na kojem se, barem za potrebe autorizacije i autentifikacije, koristi enkripcija za razmjenu podataka. JSON Web tokeni se dakle najviše koriste za:
  
-  - Autentifikaciju +  - Autentifikaciju i autorizaciju 
-  - Razmjenu informacija (autorizaciju).+  - Razmjenu informacija.
 ===== Struktura JWT-a ===== ===== Struktura JWT-a =====
-JWT se sastoji od više odvojenih objekata između kojih se nalazi točka. Najčešći oblik JSON Web tokena je onaj digitalno potpisani, koji se sastoji od ova 3 dijela:+JWT se sastoji od više odvojenih JSON objekata između kojih se nalazi točka. Najčešći oblik JSON Web tokena je onaj digitalno potpisani, koji se sastoji od ova 3 dijela:
  
   - Zaglavlje   - Zaglavlje
Redak 22: Redak 22:
  
 Primjer tokena izgleda ovako: Primjer tokena izgleda ovako:
-{{ :racfor_wiki:jwt-io.jpg?600 |}}+{{ :racfor_wiki:jwt-io.jpg?600 | Primjer JWT-a }}
  
 ==== Zaglavlje ==== ==== Zaglavlje ====
Redak 72: Redak 72:
 JSON Web tokeni se najčešće koriste u SSO (engl. //Single Sign-On//) sustavima i REST API aplikacijama gdje se koristi jedan poslužitelj za autorizaciju korisnika koji onda korisniku vraća JWT token s kojim on može pristupati usluzi kojoj želi. Dakle, korisnik će se svojim korisničkim podacima prijaviti samo jednom, a pomoću tokena korisnik pristupa usluzi dok god token vrijedi. JSON Web tokeni se najčešće koriste u SSO (engl. //Single Sign-On//) sustavima i REST API aplikacijama gdje se koristi jedan poslužitelj za autorizaciju korisnika koji onda korisniku vraća JWT token s kojim on može pristupati usluzi kojoj želi. Dakle, korisnik će se svojim korisničkim podacima prijaviti samo jednom, a pomoću tokena korisnik pristupa usluzi dok god token vrijedi.
  
-{{ :racfor_wiki:using-jwt.png?600 |}}+{{ :racfor_wiki:using-jwt.png?600 |Način korištenja JWT-a ([[https://medium.com/@sureshdsk/how-json-web-token-jwt-authentication-works-585c4f076033|Izvor]] ) }}
    
 ===== Sigurnosni aspekt ===== ===== Sigurnosni aspekt =====
Redak 91: Redak 91:
   * Curenje informacija (token se prenosi preko nesigurnog protokola)   * Curenje informacija (token se prenosi preko nesigurnog protokola)
  
-Možemo primijetiti da se najčešći napadi događaju nepravilnim korištenjem JWT-a od strane izvođača aplikacije (programera), odnosno ako postoji manjak znanja o specifikaciji, pa se implementacija napravi na krivi način. +Možemo primijetiti da se najčešći napadi događaju nepravilnim korištenjem JWT-a od strane izvođača aplikacije (programera), odnosno ako postoji manjak znanja o specifikaciji, pa se implementacija napravi na krivi način
 +Također, rizike nam predstavljaju i drugi dijelovi samih sustava, odnosno tokena kao što su algoritmi za digitalni potpis i funkcije šifriranja koje s vremenom brzog napretka računala postaju sve podložnije bruteforce napadima, stoga je potrebno redovito pratiti trendove i novosti, kako bismo pravovremeno reagirali na neku moguću sigurnosnu ranjivost. Također, isto vrijedi i za razne gotove biblioteke koje danas postoje, a  koje koriste JSON Web Tokene, gdje povjerenje stavljamo u nekog drugog.
  
  
Redak 98: Redak 99:
  
 ===== Zaključak ===== ===== Zaključak =====
 +U ovom radu napravljen je pregled i način korištenja JSON Web Tokena. Također, komentiran je sigurnosni aspekt u kojem dobivamo pregled najčešćih sigurnosnih incidenata povezanih s JWT.
  
- +Prema napravljenom pregledu na samu strukturu i način korištenja JSON Web Tokena, možemo reći kako je to jednostavan, a siguran način za razmjenu informacija i autorizaciju korisnika u današnjim sustavima koji zahtijevaju povećanu sigurnost uz jednostavnost. Kao i kod većine današnjih sigurnosnih problema i ovdje je naglasak na nedovoljnom znanju te nepravilnom korištenju standarda od strane programera koje može onda dovesti do sigurnosnih incidenata i curenja podataka. Usprkos tome, JSON Web tokeni su u svojih nekoliko godina postojanja postali veoma popularni prilikom autoriziranja za mnoge današanjim servisima koji ne čuvaju stanje (engl. //stateless service//).
 ===== Literatura ===== ===== Literatura =====
  
Redak 107: Redak 108:
 [2] [[https://jwt.io/introduction/|JSON Web Tokens - jwt.io]] [2] [[https://jwt.io/introduction/|JSON Web Tokens - jwt.io]]
  
-[3] [[https://medium.com/swlh/hacking-json-web-tokens-jwts-9122efe91e4a|Vickie LiHacking JSON Web Tokens (JWTs), 2019]]+[3] [[https://medium.com/@sureshdsk/how-json-web-token-jwt-authentication-works-585c4f076033|Kumar SureshHow JSON Web Token(JWTauthentication works?, 2019]]
  
 +[4] [[https://medium.com/swlh/hacking-json-web-tokens-jwts-9122efe91e4a|Vickie Li, Hacking JSON Web Tokens (JWTs), 2019]]
 + 
  
racfor_wiki/json_web_token.1610916357.txt.gz · Zadnja izmjena: 2023/06/19 18:14 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0