के जेडब्ल्यूटी पर हस्ताक्षर किए है का उपयोग कर preshared गुप्त कुंजी. के बाद से यह बाकी एपीआई बैकएंड में और राज्यविहीन, जेडब्ल्यूटी प्रयोग किया जाता है के लिए प्राधिकरण और निर्माण के प्रमुख उद्देश्य
के रूप में आप कहते हैं, पहुँच टोकन का प्रतिनिधित्व प्राधिकरण अपने आवेदन में, अगर ताज़ा टोकन संपर्क में है, तो ताज़ा टोकन प्रस्तुत किया जा सकता है द्वारा एक बुरा अभिनेता के लिए एक पहुँच टोकन प्राप्त कर सकते हैं वे उपयोग के लिए एक ही प्राधिकरण.
का उपयोग कर एक 'preshared रहस्य' को इंगित करता है जेडब्ल्यूटी एक HMAC केवल संस्करण के जेडब्ल्यूटी, यानी वहाँ है कोई एन्क्रिप्शन के रूप में संकेत होता है कि सार्वजनिक और निजी कुंजी युग्म का विरोध करने के लिए एक 'preshared गुप्त'. तो जेडब्ल्यूटी अनिवार्य रूप से एक हस्ताक्षर के लिए puposes की सुरक्षा विशेषताओं के लिए हम सुनिश्चित कर रहे हैं अखंडता है कि दावों के जेडब्ल्यूटी कर रहे हैं अच्छी तरह से गठन किया है और नहीं किया गया है, के बाद से बदल गया पर हस्ताक्षर किए. यह भी मतलब है कि एक ही रहस्य का इस्तेमाल किया जाता है पर हस्ताक्षर करने के लिए एक अंत के रूप में इस्तेमाल किया गया था सत्यापित करने के लिए दूसरे छोर पर, एक ही रहस्य है करने के लिए इस्तेमाल किया जा सकता है, क्योंकि पुष्टि करने के लिए एक हस्ताक्षर की आवश्यकता है कि दोनों समाप्त होता है उत्पन्न हस्ताक्षर और दोनों के हस्ताक्षर से मेल. तो कोई डेटा एन्क्रिप्टेड किया जा रहा है, इसलिए नहीं है कि डेटा में जेडब्ल्यूटी के प्रति संवेदनशील है और संरक्षित किया जाना चाहिए ।
इस संदर्भ में, दोनों ताज़ा और पहुँच टोकन कर रहे हैं एक सरल जेडब्ल्यूटी कर सकते हैं कि केवल द्वारा उत्पन्न किया जा धारक के रहस्य - अगर वे उजागर कर रहे हैं वे इस्तेमाल किया जा सकता बनाने के लिए दुर्भावनापूर्ण अनुरोधों के रूप में लंबे समय के रूप में वे वैध रहेगा (nbf
दावा).
अनिवार्य रूप से इस प्रकार के जेडब्ल्यूटी दुरुपयोग किया जा सकता है, तो उजागर करने के लिए अभिनय की पहचान गुप्त पर हस्ताक्षर किए है कि जेडब्ल्यूटी का प्रतिनिधित्व करता है, जानने के बिना वास्तव में रहस्य ही है, जब तक nbf
दावा समाप्त हो रहा टोकन - और एक ताज़ा टोकन तंत्र का विस्तार करने के लिए nbf
दावा बिना गुप्त (जो में परिणाम होगा एक नया हस्ताक्षर, क्योंकि nbf
दावा बदल जाएगा प्रयोग किया जाता है जब).
वहाँ है एक सुरक्षा से पहुँच टोकन का पुन: उपयोग, यह अस्थायी रूप से दावा करते हैं. यदि आप नहीं वर्तमान में उपयोग एक अस्थायी रूप का दावा आप कर सकते हैं के बारे में पढ़ा कि कैसे OIDC को लागू किया है और उन्होंने ही अपने अनुप्रयोग में. लेकिन जैसा कि आप कहते हैं, अपने अनुप्रयोग राज्यविहीन है, लेकिन उम्मीद है कि बैकेंड का एक रूप है, राज्य यह सुनिश्चित करने के लिए कोई अस्थायी रूप से पुन: उपयोग को रोकने और जेडब्ल्यूटी हस्ताक्षर पुन: उपयोग. हर एक के लिए अस्थायी रूप से जेडब्ल्यूटी हस्ताक्षर परिवर्तन, इसलिए पहुँच टोकन में परिवर्तन और इस्तेमाल किया जा सकता है केवल 1 समय. तो अगर यह चोरी है एक दौड़ की स्थिति का उपयोग करता है जो टोकन पहली बार है, जो बहुत कम से कम जोखिम है, लेकिन नहीं एक सही समाधान है ।