FrontDays #1. Михаил Леванов, Знакомьтесь, JWT. Что это такое и зачем он нужен?

•Download as PPTX, PDF•

1 like•968 views

Продвинутая легковесная альтернатива SAML для межсервисного взаимодействия, основанная на Json. Плюсы и минусы (есть уязвимость).

Software

‹#›CONFIDENTIAL
2
1
3
Особенности
Компактность
Самодостаточность (self-containing)
Мультиплатформенность

‹#›CONFIDENTIAL
• Аутентификация (SSO)
• Обмен данными между различными сервисами
Область применения

‹#›CONFIDENTIAL
• Reserved
• Public
• Private
Структура JWT
Header
Payload
Signature

‹#›CONFIDENTIAL
Общий вид
<base64url-encoded header>.<base64url-encoded claims>.<base64url-encoded signature>

‹#›CONFIDENTIAL
• Json компактнее XML
• Есть возможность использовать цифровую подпись на базе пары ключей
• Нативный парсинг
• Ну и…
Преимущества JWT перед SWT и SAML

‹#›CONFIDENTIAL
• Алгоритм шифрования указан в разделе заголовок
• Допустим алгоритм “none”
• Проблемы в реализации библиотек для работы с JWT
Проблемы и уязвимости

Similar to FrontDays #1. Михаил Леванов, Знакомьтесь, JWT. Что это такое и зачем он нужен?

Moбильная база данных Realm. Прошло ли время SQLite?

Олег Чебулаев

Libraries

Иван Ушаков

Libraries

Иван Ушаков

За последние годы мечты фантастов XX века стали реальностью: смартфоны, видеозвонки, виртуальная реальность и, наконец, Интернет вещей. К сожалению, у прогресса всегда есть темная сторона. Я думаю, ни для кого не секрет, что такие компании как Sony, Yahoo, Adobe, Target и многие другие столкнулись с проблемами безопасности в последние годы. Количество скомпрометированных систем растет день ото дня. Node.js - это одна из самых быстрорастущих экосистем разработки приложений на рынке, которая постепенно перестает быть инструментом для разработки стартапов и проникает в корпоративный сектор. Вы уверены, что ваше приложение, разработанное на базе MEAN-стека, безопасно? В своем докладе я хотел бы рассмотреть данный вопрос. Мы поговорим о криптографии, аутентификации, авторизации, уязвимостях web-приложений, построенных на базе Node.js. К концу доклада вы получите пошаговое руководство, как уменьшить вероятность взлома вашего проекта.

Безопасность Node.js / Илья Вербицкий (Независимый консультант)

Ontico

Highload 2009

HighLoad2009

Акулов Егор, Mail.ru Group

Nata_Churda

Компонентный подход: скучно, неинтересно, бесперспективно

Roman Dvornov

Гетерогенные сервисы для highload-проектов на примере Imhonet.ru и 4talk.im, ...

Ontico

опыт построения крупных Vpn сетей на оборудовании код безопасности

Expolink

Применение концепций информационной безопасности в продуктах Cisco Unified Co...

Cisco Russia

Семинар Центра компетенции компании КРОК «Построение единой информационной среды как средство поддержания стабильности бизнеса в условиях кризиса». Подробнее о мероприятии http://www.croc.ru/action/detail/1602/ Презентация Андрея Есенкова, системного архитектора компании КРОК

Интеграция информационных систем с использованием OpenSource ESB

КРОК

Sivko

kuchinskaya

Inversion of Control и Dependecny Injection в .net по-прежнему нетривиальный квест и тренировка архитектурного мышления, несмотря на обилие публикаций по теме. Почему IoC контейнер это фреймворк и причём здесь кулинария? Как построить дизайн системы вокруг IoC контейнера и не прострелить себе ногу? Почему ServiceLocator это плохо и как без него обойтись? Как мы отвечали на эти вопросы и наступали на грабли внедрения зависимостей в масштабе приложения.

Dependency Injection. Как сказать всё, не говоря ничего. Кожевников Дмитрий. ...

Dev2Dev

Александр Сербул (Битрикс24) Видеозвонки и шаринг экрана в мобильном приложении О спикере Отвечает за контроль качества интеграции и внедрений компании «1С-Битрикс» и выступает в роли архитектора и разработчика проектов, связанных с высокой нагрузкой и отказоустойчивостью («Битрикс24»). Окончил кафедру «Автоматизация и информатика» Донского государственного технического университета. До 2002 года работал советником в администрации Президента России по Южному федеральному округу, разработал официальный портал Юго-Западного банка Сбербанка России. Увлекается философией Unix, гибкими методологиями разработки ПО, системным анализом и проектированием. О докладе Рассмотрим технологию реализации видеозвонков HD-качества и шаринга экрана для мобильных приложений на платформах Android и Apple. Подробно остановимся на подводных камнях и доработках ядра WebRTC. INTERCOM 2016, Москва Сайт конференции: https://intercomconf.com/

Видеозвонки и шаринг экрана в мобильном приложении

Voximplant

И снова разработка под iOS. Павел Тайкало

Stanfy

инфраструктура открытых ключей (Pki)

Yandex

Анатомия веб-сервиса, Андрей Смирнов

Ontico

Анатомия веб-сервиса (РИТ-2014)

Andrey Smirnov

HighLoad++ 2017 Зал «Рио-де-Жанейро», 8 ноября, 18:00 Тезисы: http://www.highload.ru/2017/abstracts/2905.html Прошло более года с того момента, как Microsoft выпустила первую версию своего нового фреймворка для разработки web-приложений ASP.NET Core, и с каждым днем он находит все больше поклонников. ASP.NET Core базируется на платформе .NET Core, кроссплатформенной версии платформы .NET c открытым исходным кодом. Теперь у С#-разработчиков появилась возможность использовать Mac в качестве среды разработки, и запускать приложения на Linux или внутри Docker-контейнеров. ...

Разгоняем ASP.NET Core / Илья Вербицкий (WebStoating s.r.o.)

Ontico

Создание облачных приложений по модели PaaS (Platform as Service) позволяет сосредоточиться на решении задач по созданию программного обеспечения, вместо того чтобы беспокоиться о базовой инфраструктуры. Но иногда построение комплексного решения или интеграция с существующими системами требуется больше контроля, чем предоставляет модель PaaS, требуется контроль над инфраструктурой, т.е. IaaS (Infrastructure as Service). В рамках доклада будут рассмотрены основные архитектурные особенности Windows Azure, которые необходимо учитывать при миграции приложения в PaaS модели, а так же новые инфраструктурные возможности Windows Azure, такие как виртуальные машины и виртуальные сети, которые позволяют использовать IaaS модель миграции.

Миграция существующих приложений в Windows Azure

Natalia Efimtseva

Similar to FrontDays #1. Михаил Леванов, Знакомьтесь, JWT. Что это такое и зачем он нужен? (20)

Moбильная база данных Realm. Прошло ли время SQLite?

Libraries

Безопасность Node.js / Илья Вербицкий (Независимый консультант)

Highload 2009

Акулов Егор, Mail.ru Group

Компонентный подход: скучно, неинтересно, бесперспективно

Гетерогенные сервисы для highload-проектов на примере Imhonet.ru и 4talk.im, ...

опыт построения крупных Vpn сетей на оборудовании код безопасности

Применение концепций информационной безопасности в продуктах Cisco Unified Co...

Интеграция информационных систем с использованием OpenSource ESB

Sivko

Dependency Injection. Как сказать всё, не говоря ничего. Кожевников Дмитрий. ...

Видеозвонки и шаринг экрана в мобильном приложении

И снова разработка под iOS. Павел Тайкало

инфраструктура открытых ключей (Pki)

Анатомия веб-сервиса, Андрей Смирнов

Анатомия веб-сервиса (РИТ-2014)

Разгоняем ASP.NET Core / Илья Вербицкий (WebStoating s.r.o.)

Миграция существующих приложений в Windows Azure