Diskussion:JSON Web Token

Letzter Kommentar: vor 1 Monat von 2003:DE:F45:B800:4309:24DD:F518:CE1A in Abschnitt Versteh ich nicht

Quellen zum Abschnitt "Übertragung per HTTP"

Bearbeiten

Im Abschnitt "Übertragung per HTTP" werden Security-Aspekte der Übertragung per Authorization Header bzw. Cookie verglichen, ohne dass dazu eine Quelle genannt wird. Der Abschnitt impliziert, dass eine Übertragung per Cookie sicherer ist bzw. dass man sich im Fall des Authorization Headers um einen Schutz vor CSRF kümmern muss.

Speziell im Zusammenhang mit REST-APIs gibt es Artikel (z.B. auf Stackexchange), denen zu Folge die Übertragung per Authorization Header sicherer sei (und CSRF ausschließe).

Aus meiner Sicht fehlen für diesen Abschnitt aktuell entsprechende Quellenangaben.

--Christian Gawron (Diskussion) 08:11, 3. Dez. 2019 (CET)Beantworten

M.E. hast du vollkommen Recht. JWT im Bearer Token ist prinzipbedingt unanfällig für CSRF-Attacken. Ich passe das an. --McNetic (Diskussion) 13:24, 20. Okt. 2023 (CEST)Beantworten

Signatur vs. Verschlüsselung

Bearbeiten

Insbesondere im oberen Teil des Artikels wird von Verschlüsselung gesprochen. De facto zeigt der Artikel jedoch nur Signaturaspekte auf und stellt im Beispiel die Erstellung eines signed token dar. Anstatt die weitergehende Thematik eines encrypted token differenziert nach RFC 7519 darzustellen, werden beide Themen vermischt und stellen ein falsches Bild der tatsächlichen Spezifikation dar. (nicht signierter Beitrag von 77.22.231.125 (Diskussion) 15:00, 24. Apr. 2020 (CEST))Beantworten

Versteh ich nicht

Bearbeiten

Einleitung: "JWT eignen sich vor allem zur Implementierung von „Stateless Sessions“, da sämtliche authentifizierungsrelevanten Informationen im Token übertragen werden können und die Sitzung nicht zusätzlich auf einem Server gespeichert werden muss."


Und woher weiß der Server, dass sich der Client das JWT nicht einfach ausgedacht hat? Der Server muss das JWT doch gegen irgendwas prüfen. --2003:DE:F45:B800:4309:24DD:F518:CE1A 20:26, 5. Nov. 2024 (CET)Beantworten