Slijede razlike između dviju inačica stranice.
Starije izmjene na obje strane Starija izmjena Novija izmjena | Starija izmjena | ||
racfor_wiki:json_web_token [2021/01/17 21:45] mrezo [Sigurnosni aspekt] |
racfor_wiki:json_web_token [2023/06/19 18:17] (trenutno) |
||
---|---|---|---|
Redak 1: | Redak 1: | ||
- | ====== | + | ====== |
===== Sažetak ===== | ===== Sažetak ===== | ||
- | How do you write an abstract? Identify your purpose. You're writing about a correlation between lack of lunches | + | JSON Web Token je otvoreni standard predstavljen u 2010. godini, kojim je definiran način za siguran i pouzdan prijenos informacija između dvije ili više strana, najviše se koristi za autorizaciju korisnika u servisima koji ne čuvaju stanje |
- | Keywords: abstract; bastract; astract; retract; tractor | + | Ključne riječi: jwt; json web token; autorizacija; |
===== Uvod ===== | ===== Uvod ===== | ||
- | JSON Web Token je otvoreni standard predstavljen u 2015. godini, kojim je definiran način za siguran i pouzdan prijenos informacija između dvije ili više strana. Podaci se spremaju u obliku JSON objekta te se zatim ta struktura koristi za digitalno potpisivanje (JWS - JSON Web Signature) kako bi sačuvali autentičnost i integritet podataka. Iako se tokeni mogu još dodatno i kriptirati, češća je upotreba bez eksplicitne enkripcije, s obzirom na to da se najčešće prenose putem HTTP(S) protokola. na kojem se, barem za potrebe autorizacije i autentifikacije, | + | JSON Web Token je otvoreni standard predstavljen u 2010. godini, kojim je definiran način za siguran i pouzdan prijenos informacija između dvije ili više strana. Podaci se spremaju u obliku JSON objekta te se zatim ta struktura koristi za digitalno potpisivanje (JWS - JSON Web Signature) kako bi sačuvali autentičnost i integritet podataka. Iako se tokeni mogu još dodatno i kriptirati, češća je upotreba bez eksplicitne enkripcije, s obzirom na to da se najčešće prenose putem HTTP(S) protokola. na kojem se, barem za potrebe autorizacije i autentifikacije, |
- | - Autentifikaciju | + | - Autentifikaciju |
- | - Razmjenu informacija | + | - Razmjenu informacija. |
===== Struktura JWT-a ===== | ===== Struktura JWT-a ===== | ||
- | JWT se sastoji od više odvojenih objekata između kojih se nalazi točka. Najčešći oblik JSON Web tokena je onaj digitalno potpisani, koji se sastoji od ova 3 dijela: | + | JWT se sastoji od više odvojenih |
- Zaglavlje | - Zaglavlje | ||
Redak 22: | Redak 22: | ||
Primjer tokena izgleda ovako: | Primjer tokena izgleda ovako: | ||
- | {{ : | + | {{ : |
==== Zaglavlje ==== | ==== Zaglavlje ==== | ||
Redak 72: | Redak 72: | ||
JSON Web tokeni se najčešće koriste u SSO (engl. //Single Sign-On//) sustavima i REST API aplikacijama gdje se koristi jedan poslužitelj za autorizaciju korisnika koji onda korisniku vraća JWT token s kojim on može pristupati usluzi kojoj želi. Dakle, korisnik će se svojim korisničkim podacima prijaviti samo jednom, a pomoću tokena korisnik pristupa usluzi dok god token vrijedi. | JSON Web tokeni se najčešće koriste u SSO (engl. //Single Sign-On//) sustavima i REST API aplikacijama gdje se koristi jedan poslužitelj za autorizaciju korisnika koji onda korisniku vraća JWT token s kojim on može pristupati usluzi kojoj želi. Dakle, korisnik će se svojim korisničkim podacima prijaviti samo jednom, a pomoću tokena korisnik pristupa usluzi dok god token vrijedi. | ||
- | {{ : | + | {{ : |
===== Sigurnosni aspekt ===== | ===== Sigurnosni aspekt ===== | ||
Redak 91: | Redak 91: | ||
* Curenje informacija (token se prenosi preko nesigurnog protokola) | * Curenje informacija (token se prenosi preko nesigurnog protokola) | ||
- | Možemo primijetiti da se najčešći napadi događaju nepravilnim korištenjem JWT-a od strane izvođača aplikacije (programera), | + | Možemo primijetiti da se najčešći napadi događaju nepravilnim korištenjem JWT-a od strane izvođača aplikacije (programera), |
+ | Također, rizike nam predstavljaju i drugi dijelovi samih sustava, odnosno tokena kao što su algoritmi za digitalni potpis i funkcije šifriranja koje s vremenom brzog napretka računala postaju sve podložnije bruteforce napadima, stoga je potrebno redovito pratiti trendove i novosti, kako bismo pravovremeno reagirali na neku moguću sigurnosnu ranjivost. Također, isto vrijedi i za razne gotove biblioteke koje danas postoje, a koje koriste JSON Web Tokene, gdje povjerenje stavljamo u nekog drugog. | ||
Redak 98: | Redak 99: | ||
===== Zaključak ===== | ===== Zaključak ===== | ||
+ | U ovom radu napravljen je pregled i način korištenja JSON Web Tokena. Također, komentiran je sigurnosni aspekt u kojem dobivamo pregled najčešćih sigurnosnih incidenata povezanih s JWT. | ||
- | + | Prema napravljenom pregledu na samu strukturu i način korištenja JSON Web Tokena, možemo reći kako je to jednostavan, | |
===== Literatura ===== | ===== Literatura ===== | ||
Redak 107: | Redak 108: | ||
[2] [[https:// | [2] [[https:// | ||
- | [3] [[https:// | + | [3] [[https:// |
+ | [4] [[https:// | ||
+ | |||