Diskussion:JSON Web Token
Quellen zum Abschnitt "Übertragung per HTTP"
BearbeitenIm Abschnitt "Übertragung per HTTP" werden Security-Aspekte der Übertragung per Authorization Header bzw. Cookie verglichen, ohne dass dazu eine Quelle genannt wird. Der Abschnitt impliziert, dass eine Übertragung per Cookie sicherer ist bzw. dass man sich im Fall des Authorization Headers um einen Schutz vor CSRF kümmern muss.
Speziell im Zusammenhang mit REST-APIs gibt es Artikel (z.B. auf Stackexchange), denen zu Folge die Übertragung per Authorization Header sicherer sei (und CSRF ausschließe).
Aus meiner Sicht fehlen für diesen Abschnitt aktuell entsprechende Quellenangaben.
--Christian Gawron (Diskussion) 08:11, 3. Dez. 2019 (CET)
- M.E. hast du vollkommen Recht. JWT im Bearer Token ist prinzipbedingt unanfällig für CSRF-Attacken. Ich passe das an. --McNetic (Diskussion) 13:24, 20. Okt. 2023 (CEST)
Signatur vs. Verschlüsselung
BearbeitenInsbesondere im oberen Teil des Artikels wird von Verschlüsselung gesprochen. De facto zeigt der Artikel jedoch nur Signaturaspekte auf und stellt im Beispiel die Erstellung eines signed token dar. Anstatt die weitergehende Thematik eines encrypted token differenziert nach RFC 7519 darzustellen, werden beide Themen vermischt und stellen ein falsches Bild der tatsächlichen Spezifikation dar. (nicht signierter Beitrag von 77.22.231.125 (Diskussion) 15:00, 24. Apr. 2020 (CEST))
Versteh ich nicht
BearbeitenEinleitung: "JWT eignen sich vor allem zur Implementierung von „Stateless Sessions“, da sämtliche authentifizierungsrelevanten Informationen im Token übertragen werden können und die Sitzung nicht zusätzlich auf einem Server gespeichert werden muss."
Und woher weiß der Server, dass sich der Client das JWT nicht einfach ausgedacht hat? Der Server muss das JWT doch gegen irgendwas prüfen. --2003:DE:F45:B800:4309:24DD:F518:CE1A 20:26, 5. Nov. 2024 (CET)