Upgrade to Pro — share decks privately, control downloads, hide ads and more …

JSON Web Tokens. Problemy i rozwiązania

Marcin Hoppe
July 03, 2018
Programming
0
130

JSON Web Tokens. Problemy i rozwiązania

Jeżeli logowaliście się niedawno w Internecie, to jest spora szansa, że informacje o waszej tożsamości były przesyłane między serwerami w zakodowane w formacie JSON Web Tokens. Takie tokeny są wykorzystywane w protokole OpenID Connect, stosuje się je także do kontroli dostępu do API opartych o HTTP. Czy ich bezpieczeństwo idzie w parze z prostotą i popularnością?

Marcin pokaże wam szereg problemów, które w ostatnich latach trapiły programistów korzystających z JWT oraz poda garść wskazówek jak sobie z tymi problemami poradzić. Wisienką na torcie będzie krótka wycieczka w świat mniej popularnych formatów, takich jak PASETO.

Marcin Hoppe

July 03, 2018
Tweet

More Decks by Marcin Hoppe

See All by Marcin Hoppe
Przepraszam, czy można?
marcinhoppe
0
24
Hacking OAuth 2.0
marcinhoppe
0
47
Problemy z JSON Web Tokens ... i garść rozwiązań
marcinhoppe
0
44

Other Decks in Programming

See All in Programming
Node.js v22 で変わること
yosuke_furukawa
PRO
9
3k
[技育CAMPアカデミア]アイディアを形に!【超入門】スマホアプリ開発〜リリースまでの流れをご紹介
teamlab
PRO
0
360
Snowflakeで眠ったデータを起こそう!
estie
0
120
使ってみよう Azure AI Document Intelligence
kosmosebi
2
300
Elm 0.19.0 Changes
bkuhlmann
0
490
if constexpr文はテンプレート世界のラムダ式である
faithandbrave
3
640
1BRC--Nerd Sniping the Java Community
gunnarmorling
0
340
"config" ってなんだ? / What is "config"?
okashoi
0
240
try! Swift Tokyo 2024 参加報告 / try! Swift Tokyo 2024 Report
hironytic
0
200
Anthropic Cookbook のおすすめレシピ
schroneko
7
910
Tailwind CSSを本気でカスタマイズする方法
fsubal
13
5.2k
Rethinking UI building strategies @ SFI 2024
letelete
0
270

Featured

See All Featured
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
60
14k
Teambox: Starting and Learning
jrom
128
8.4k
The Pragmatic Product Professional
lauravandoore
25
5.8k
The Invisible Side of Design
smashingmag
294
49k
Fashionably flexible responsive web design (full day workshop)
malarkey
398
65k
Gamification - CAS2011
davidbonilla
76
4.6k
Building Your Own Lightsaber
phodgson
99
5.7k
Docker and Python
trallard
34
2.7k
For a Future-Friendly Web
brad_frost
172
9k
YesSQL, Process and Tooling at Scale
rocio
164
13k
The Language of Interfaces
destraynor
151
23k
Building Adaptive Systems
keathley
31
1.9k

Transcript

  1. Problemy i rozwiązania JSON Web Tokens

  2. Marcin Security Working Group Hoppe Product Security Engineering

  3. JSON Web Tokens Image Background • JWT (wym. dżot) •

    URL & cookies • Security claims > OpenID Connect > OAuth 2.0

  4. Zastosowanie Aplikacja IdP / AS API id_token access_token access_token

  5. JavaScript Object Signing and Encryption • JSON Web Signature •

    JSON Web Encryption • JSON Web Keys + JSON Web Algorithms • JSON Web Tokens

  6. Anatomia JWT eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9. eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6I kpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ .SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_a dQssw5c

  7. Anatomia JWT { "alg": "HS256", "typ": "JWT" } { "sub":

    "1234567890", "iss": "https://issuer.com", "aud": "https://myapi.com", "exp": 1516239022 } + podpis (HMAC)

  8. Kryptograficzny zawrót głowy • Podpis • Szyfrowanie • Podpis +

    szyfrowanie • RSA PKCS1v1.5, RSA OAEP, RSA PSS, ECDSA, ECDH-ES, AES-GCM • Szyfrowanie klucza czy wiadomości?

  9. Dystrybucja kluczy Aplikacja IdP / AS API Klucz id_token Klucz

    access_token

  10. Problem #1 “alg”: “none” Rozwiązanie “alg”: “none”

  11. “alg”: “none” { "alg": "HS256" "none", "typ": "JWT" } {

    "sub": "1234567890", "iss": "https://issuer.com", "aud": "https://myapi.com", "exp": 1516239022 } + podpis

  12. Problem #2 Kontrola algorytmów i kluczy Rozwiązanie RS256 → HS256

  13. RS256 → HS256 { "alg": "RS256" "HS256", "typ": "JWT" }

    { "sub": "1234567890", "iss": "https://issuer.com", "aud": "https://myapi.com", "exp": 1516239022 } + podpis RSA HMAC(klucz publiczny)

  14. Problem #3 Losowe klucze i KDFy Rozwiązanie Statyczne klucze HMAC

  15. Statyczne klucze HMAC: brute force Aplikacja IdP / AS API

    id_token x N access_token x N

  16. Problem #4 Weryfikacja claimów Rozwiązanie Podmiana tokenów

  17. Podmiana tokenów Aplikacja IdP / AS API access_token id_token

  18. Weryfikacja claimów { "alg": "HS256", "typ": "JWT" } { "sub":

    "1234567890", "iss": "https://issuer.com", "aud": "https://myapi.com", "exp": 1516239022 } + podpis / HMAC

  19. Alternatywne formaty tokenów • Fernet • Macaroons • Iron •

    Platform Agnostic SEcurity TOkens (PASETO)

  20. PASETO • Dwa zastosowania: ciasteczka i tokeny • Local: poufność

    i integralność z kluczem symetrycznym • Public: integralność z kluczem publicznym

  21. PASETO • Dwie wersje • v1: kryptografia klasyczna (RSA, AES,

    SHA) • v2: libsodium (XChaCha20-Poly1305 i EdDSA / Curve25519)

  22. Anatomia PASETO v2.local.97TTOvgwIxNGvV80XKiGZg_kD3ts XM_-qB4dZGHOeN1cTkgQ4PnW8888l802W8d9A vEGnoNBY3BnqHORy8a5cC8aKpbA0En8XELw2y Dk2f1sVODyfnDbi6rEGMY3pSfCbLWMM2oHJxv lEl2XbQ

  23. Anatomia PASETO Alg: XChaCha20-Poly1305 Nonce: 0000...0 Payload: { "data":"this is

    a signed message", "exp":"2019-01-01T00:00:00+00:00" } Footer:

  24. PASETO a JWT • ”alg”: “none” • RS256 → HS256

    • Statyczne klucze: to samo! • Podmiana tokenów: weryfikacja claimów!

  25. [email protected] Dołącz do nas!