Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
‹#›CONFIDENTIAL
JWT -
JSON WEB TOKEN
‹#›CONFIDENTIAL
2
1
3
Особенности
Компактность
Самодостаточность (self-containing)
Мультиплатформенность
‹#›CONFIDENTIAL
• Аутентификация (SSO)
• Обмен данными между различными сервисами
Область применения
‹#›CONFIDENTIAL
• Reserved
• Public
• Private
Структура JWT
Header
Payload
Signature
‹#›CONFIDENTIAL
Общий вид
<base64url-encoded header>.<base64url-encoded claims>.<base64url-encoded signature>
‹#›CONFIDENTIAL
Как это работает
‹#›CONFIDENTIAL
• Json компактнее XML
• Есть возможность использовать цифровую подпись на базе пары ключей
• Нативный парс...
‹#›CONFIDENTIAL
Отладка
‹#›CONFIDENTIAL
• Алгоритм шифрования указан в разделе заголовок
• Допустим алгоритм “none”
• Проблемы в реализации библио...
‹#›CONFIDENTIAL
Что в итоге?
‹#›CONFIDENTIAL
THANK
YOU
Upcoming SlideShare
Loading in …5
×

FrontDays #1. Михаил Леванов, Знакомьтесь, JWT. Что это такое и зачем он нужен?

740 views

Published on

Продвинутая легковесная альтернатива SAML для межсервисного взаимодействия, основанная на Json. Плюсы и минусы (есть уязвимость).

Published in: Software
  • Be the first to comment

  • Be the first to like this

FrontDays #1. Михаил Леванов, Знакомьтесь, JWT. Что это такое и зачем он нужен?

  1. 1. ‹#›CONFIDENTIAL JWT - JSON WEB TOKEN
  2. 2. ‹#›CONFIDENTIAL 2 1 3 Особенности Компактность Самодостаточность (self-containing) Мультиплатформенность
  3. 3. ‹#›CONFIDENTIAL • Аутентификация (SSO) • Обмен данными между различными сервисами Область применения
  4. 4. ‹#›CONFIDENTIAL • Reserved • Public • Private Структура JWT Header Payload Signature
  5. 5. ‹#›CONFIDENTIAL Общий вид <base64url-encoded header>.<base64url-encoded claims>.<base64url-encoded signature>
  6. 6. ‹#›CONFIDENTIAL Как это работает
  7. 7. ‹#›CONFIDENTIAL • Json компактнее XML • Есть возможность использовать цифровую подпись на базе пары ключей • Нативный парсинг • Ну и… Преимущества JWT перед SWT и SAML
  8. 8. ‹#›CONFIDENTIAL Отладка
  9. 9. ‹#›CONFIDENTIAL • Алгоритм шифрования указан в разделе заголовок • Допустим алгоритм “none” • Проблемы в реализации библиотек для работы с JWT Проблемы и уязвимости
  10. 10. ‹#›CONFIDENTIAL Что в итоге?
  11. 11. ‹#›CONFIDENTIAL THANK YOU

×