Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:json_web_token [2021/01/17 21:56]
mrezo [Zaključak]
+++ racfor_wiki:json_web_token [2023/06/19 18:17] (trenutno)
@@ Redak 1: / Redak 1: @@
-====== Naslov ======
+====== JSON Web Token (JWT) ======
 ===== Sažetak =====
-How do you write an abstract? Identify your purpose. You're writing about a correlation between lack of lunches in schools and poor grades. … Explain the problem at hand. Abstracts state the “problem” behind your work. … Explain your methods. … ([[https://www.aje.com/arc/make-great-first-impression-6-tips-writing-strong-abstract/|Source]]) Save your work regularly!!! Describe your results (informative abstract only). … Abstract should be no longer that 400 words. Napomena: sadržaj na vrhu stranice generira se automatski na temelju naslova u dokumentu.
+JSON Web Token je otvoreni standard predstavljen u 2010. godini, kojim je definiran način za siguran i pouzdan prijenos informacija između dvije ili više strana, najviše se koristi za autorizaciju korisnika u servisima koji ne čuvaju stanje (engl. //stateless service//). Podaci se spremaju u obliku JSON objekata koji se digitalno potpisuju te time čuvaju integritet informacija koje se u njima nalaze. JWT je jednostavan a relativno siguran način autorizacije korisnika, međutim, kao i mnogi drugi sustavi autorizacije, podložan je napadima. Najčešći su oni koji iskorištavaju ranjivosti nastale neznanjem i nestručnosti izvođača prilikom izrade aplikacije.
-Keywords: abstract; bastract; astract; retract; tractor
+Ključne riječi: jwt; json web token; autorizacija;
 ===== Uvod =====
-JSON Web Token je otvoreni standard predstavljen u 2015. godini, kojim je definiran način za siguran i pouzdan prijenos informacija između dvije ili više strana. Podaci se spremaju u obliku JSON objekta te se zatim ta struktura koristi za digitalno potpisivanje (JWS - JSON Web Signature) kako bi sačuvali autentičnost i integritet podataka. Iako se tokeni mogu još dodatno i kriptirati, češća je upotreba bez eksplicitne enkripcije, s obzirom na to da se najčešće prenose putem HTTP(S) protokola. na kojem se, barem za potrebe autorizacije i autentifikacije, koristi enkripcija za razmjenu podataka. JSON Web tokeni se dakle najviše koriste za:
+JSON Web Token je otvoreni standard predstavljen u 2010. godini, kojim je definiran način za siguran i pouzdan prijenos informacija između dvije ili više strana. Podaci se spremaju u obliku JSON objekta te se zatim ta struktura koristi za digitalno potpisivanje (JWS - JSON Web Signature) kako bi sačuvali autentičnost i integritet podataka. Iako se tokeni mogu još dodatno i kriptirati, češća je upotreba bez eksplicitne enkripcije, s obzirom na to da se najčešće prenose putem HTTP(S) protokola. na kojem se, barem za potrebe autorizacije i autentifikacije, koristi enkripcija za razmjenu podataka. JSON Web tokeni se dakle najviše koriste za:
-  - Autentifikaciju
+  - Autentifikaciju i autorizaciju
-  - Razmjenu informacija (autorizaciju).
+  - Razmjenu informacija.
 ===== Struktura JWT-a =====
-JWT se sastoji od više odvojenih objekata između kojih se nalazi točka. Najčešći oblik JSON Web tokena je onaj digitalno potpisani, koji se sastoji od ova 3 dijela:
+JWT se sastoji od više odvojenih JSON objekata između kojih se nalazi točka. Najčešći oblik JSON Web tokena je onaj digitalno potpisani, koji se sastoji od ova 3 dijela:
   - Zaglavlje
@@ Redak 22: / Redak 22: @@
 Primjer tokena izgleda ovako:
-{{ :racfor_wiki:jwt-io.jpg?600 |}}
+{{ :racfor_wiki:jwt-io.jpg?600 | Primjer JWT-a }}
 ==== Zaglavlje ====
@@ Redak 72: / Redak 72: @@
 JSON Web tokeni se najčešće koriste u SSO (engl. //Single Sign-On//) sustavima i REST API aplikacijama gdje se koristi jedan poslužitelj za autorizaciju korisnika koji onda korisniku vraća JWT token s kojim on može pristupati usluzi kojoj želi. Dakle, korisnik će se svojim korisničkim podacima prijaviti samo jednom, a pomoću tokena korisnik pristupa usluzi dok god token vrijedi.
-{{ :racfor_wiki:using-jwt.png?600 |}}
+{{ :racfor_wiki:using-jwt.png?600 |Način korištenja JWT-a ([[https://medium.com/@sureshdsk/how-json-web-token-jwt-authentication-works-585c4f076033|Izvor]] ) }}
 ===== Sigurnosni aspekt =====
@@ Redak 91: / Redak 91: @@
   * Curenje informacija (token se prenosi preko nesigurnog protokola)
 Možemo primijetiti da se najčešći napadi događaju nepravilnim korištenjem JWT-a od strane izvođača aplikacije (programera), odnosno ako postoji manjak znanja o specifikaciji, pa se implementacija napravi na krivi način.
+Također, rizike nam predstavljaju i drugi dijelovi samih sustava, odnosno tokena kao što su algoritmi za digitalni potpis i funkcije šifriranja koje s vremenom brzog napretka računala postaju sve podložnije bruteforce napadima, stoga je potrebno redovito pratiti trendove i novosti, kako bismo pravovremeno reagirali na neku moguću sigurnosnu ranjivost. Također, isto vrijedi i za razne gotove biblioteke koje danas postoje, a  koje koriste JSON Web Tokene, gdje povjerenje stavljamo u nekog drugog.
@@ Redak 98: / Redak 99: @@
 ===== Zaključak =====
-U ovom radu napravljen je pregled i način korištenja JSON Web Tokena. Također, komentiran je sigurnosni aspekt prema kojem dobivamo pregled na najčešće
+U ovom radu napravljen je pregled i način korištenja JSON Web Tokena. Također, komentiran je sigurnosni aspekt u kojem dobivamo pregled najčešćih sigurnosnih incidenata povezanih s JWT.
 Prema napravljenom pregledu na samu strukturu i način korištenja JSON Web Tokena, možemo reći kako je to jednostavan, a siguran način za razmjenu informacija i autorizaciju korisnika u današnjim sustavima koji zahtijevaju povećanu sigurnost uz jednostavnost. Kao i kod većine današnjih sigurnosnih problema i ovdje je naglasak na nedovoljnom znanju te nepravilnom korištenju standarda od strane programera koje može onda dovesti do sigurnosnih incidenata i curenja podataka. Usprkos tome, JSON Web tokeni su u svojih nekoliko godina postojanja postali veoma popularni prilikom autoriziranja za mnoge današanjim servisima koji ne čuvaju stanje (engl. //stateless service//).
@@ Redak 107: / Redak 108: @@
 [2] [[https://jwt.io/introduction/|JSON Web Tokens - jwt.io]]
-[3] [[https://medium.com/swlh/hacking-json-web-tokens-jwts-9122efe91e4a|Vickie Li, Hacking JSON Web Tokens (JWTs), 2019]]
+[3] [[https://medium.com/@sureshdsk/how-json-web-token-jwt-authentication-works-585c4f076033|Kumar Suresh, How JSON Web Token(JWT) authentication works?, 2019]]
+[4] [[https://medium.com/swlh/hacking-json-web-tokens-jwts-9122efe91e4a|Vickie Li, Hacking JSON Web Tokens (JWTs), 2019]]

racfor_wiki/json_web_token.1610917017.txt.gz · Zadnja izmjena: 2023/06/19 18:14 (vanjsko uređivanje)