Upgrade to Pro — share decks privately, control downloads, hide ads and more …

JSON Web Tokens. Problemy i rozwiązania

Avatar for Marcin Hoppe Marcin Hoppe
July 03, 2018
Programming
0
130

JSON Web Tokens. Problemy i rozwiązania

Jeżeli logowaliście się niedawno w Internecie, to jest spora szansa, że informacje o waszej tożsamości były przesyłane między serwerami w zakodowane w formacie JSON Web Tokens. Takie tokeny są wykorzystywane w protokole OpenID Connect, stosuje się je także do kontroli dostępu do API opartych o HTTP. Czy ich bezpieczeństwo idzie w parze z prostotą i popularnością?

Marcin pokaże wam szereg problemów, które w ostatnich latach trapiły programistów korzystających z JWT oraz poda garść wskazówek jak sobie z tymi problemami poradzić. Wisienką na torcie będzie krótka wycieczka w świat mniej popularnych formatów, takich jak PASETO.
Avatar for Marcin Hoppe

Marcin Hoppe

July 03, 2018
Tweet

More Decks by Marcin Hoppe

See All by Marcin Hoppe
Przepraszam, czy można?
Avatar for Marcin Hoppe marcinhoppe
0
28
Hacking OAuth 2.0
Avatar for Marcin Hoppe marcinhoppe
0
51
Problemy z JSON Web Tokens ... i garść rozwiązań
Avatar for Marcin Hoppe marcinhoppe
0
60

Other Decks in Programming

See All in Programming
A2A プロトコルを試してみる
Avatar for azukiazusa azukiazusa1
2
1.3k
スタートアップの急成長を支えるプラットフォームエンジニアリングと組織戦略
Avatar for Yusuke Suto sutochin26
0
3.2k
LINEヤフー データグループ紹介
Avatar for LINEヤフー株式会社 採用情報 lycorp_recruit_jp
0
2k
ISUCON研修おかわり会 講義スライド
Avatar for Yuki Yata arfes0e2b3c
1
400
関数型まつりレポート for JuliaTokai #22
Avatar for GOTOH Shunsuke antimon2
0
160
Azure AI Foundryではじめてのマルチエージェントワークフロー
Avatar for 瀬尾佳隆 seosoft
0
150
AI時代のソフトウェア開発を考える(2025/07版) / Agentic Software Engineering Findy 2025-07 Edition
Avatar for Takuto Wada twada
PRO
60
17k
明示と暗黙 ー PHPとGoの インターフェイスの違いを知る
Avatar for shimabox shimabox
2
470
Quand Symfony, ApiPlatform, OpenAI et LangChain s'allient pour exploiter vos PDF : de la théorie à la production…
Avatar for Ahmed EBEN HASSINE ahmedbhs123
0
130
なんとなくわかった気になるブロックテーマ入門/contents.nagoya 2025 6.28
Avatar for Chiaki Okamoto chiilog
1
260
GitHub Copilot and GitHub Codespaces Hands-on
Avatar for Kento.Yamada ymd65536
2
140
『自分のデータだけ見せたい!』を叶える──Laravel × Casbin で複雑権限をスッキリ解きほぐす 25 分
Avatar for AkitoTsukahara akitotsukahara
2
620

Featured

See All Featured
Stop Working from a Prison Cell
Avatar for Chris Michel hatefulcrawdad
270
21k
A Tale of Four Properties
Avatar for Chris Coyier chriscoyier
160
23k
Practical Tips for Bootstrapping Information Extraction Pipelines
Avatar for Matthew Honnibal honnibal
PRO
20
1.3k
Helping Users Find Their Own Way: Creating Modern Search Experiences
Avatar for Dan Newman danielanewman
29
2.7k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
Avatar for Joe Casabona jcasabona
32
2.4k
A designer walks into a library…
Avatar for Paul Jervis Heath pauljervisheath
207
24k
What’s in a name? Adding method to the madness
Avatar for Product Marketing Alliance productmarketing
PRO
23
3.5k
Six Lessons from altMBA
Avatar for Skipper Chong Warson skipperchong
28
3.9k
Designing Dashboards & Data Visualisations in Web Apps
Avatar for Des Traynor destraynor
231
53k
Git: the NoSQL Database
Avatar for Brandon Keepers bkeepers
PRO
430
65k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
26
2.9k
Being A Developer After 40
Avatar for Adrian Kosmaczewski akosma
90
590k

Transcript

  1. Problemy i rozwiązania JSON Web Tokens

  2. Marcin Security Working Group Hoppe Product Security Engineering

  3. JSON Web Tokens Image Background • JWT (wym. dżot) •

    URL & cookies • Security claims > OpenID Connect > OAuth 2.0

  4. Zastosowanie Aplikacja IdP / AS API id_token access_token access_token

  5. JavaScript Object Signing and Encryption • JSON Web Signature •

    JSON Web Encryption • JSON Web Keys + JSON Web Algorithms • JSON Web Tokens

  6. Anatomia JWT eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9. eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6I kpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ .SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_a dQssw5c

  7. Anatomia JWT { "alg": "HS256", "typ": "JWT" } { "sub":

    "1234567890", "iss": "https://issuer.com", "aud": "https://myapi.com", "exp": 1516239022 } + podpis (HMAC)

  8. Kryptograficzny zawrót głowy • Podpis • Szyfrowanie • Podpis +

    szyfrowanie • RSA PKCS1v1.5, RSA OAEP, RSA PSS, ECDSA, ECDH-ES, AES-GCM • Szyfrowanie klucza czy wiadomości?

  9. Dystrybucja kluczy Aplikacja IdP / AS API Klucz id_token Klucz

    access_token

  10. Problem #1 “alg”: “none” Rozwiązanie “alg”: “none”

  11. “alg”: “none” { "alg": "HS256" "none", "typ": "JWT" } {

    "sub": "1234567890", "iss": "https://issuer.com", "aud": "https://myapi.com", "exp": 1516239022 } + podpis

  12. Problem #2 Kontrola algorytmów i kluczy Rozwiązanie RS256 → HS256

  13. RS256 → HS256 { "alg": "RS256" "HS256", "typ": "JWT" }

    { "sub": "1234567890", "iss": "https://issuer.com", "aud": "https://myapi.com", "exp": 1516239022 } + podpis RSA HMAC(klucz publiczny)

  14. Problem #3 Losowe klucze i KDFy Rozwiązanie Statyczne klucze HMAC

  15. Statyczne klucze HMAC: brute force Aplikacja IdP / AS API

    id_token x N access_token x N

  16. Problem #4 Weryfikacja claimów Rozwiązanie Podmiana tokenów

  17. Podmiana tokenów Aplikacja IdP / AS API access_token id_token

  18. Weryfikacja claimów { "alg": "HS256", "typ": "JWT" } { "sub":

    "1234567890", "iss": "https://issuer.com", "aud": "https://myapi.com", "exp": 1516239022 } + podpis / HMAC

  19. Alternatywne formaty tokenów • Fernet • Macaroons • Iron •

    Platform Agnostic SEcurity TOkens (PASETO)

  20. PASETO • Dwa zastosowania: ciasteczka i tokeny • Local: poufność

    i integralność z kluczem symetrycznym • Public: integralność z kluczem publicznym

  21. PASETO • Dwie wersje • v1: kryptografia klasyczna (RSA, AES,

    SHA) • v2: libsodium (XChaCha20-Poly1305 i EdDSA / Curve25519)

  22. Anatomia PASETO v2.local.97TTOvgwIxNGvV80XKiGZg_kD3ts XM_-qB4dZGHOeN1cTkgQ4PnW8888l802W8d9A vEGnoNBY3BnqHORy8a5cC8aKpbA0En8XELw2y Dk2f1sVODyfnDbi6rEGMY3pSfCbLWMM2oHJxv lEl2XbQ

  23. Anatomia PASETO Alg: XChaCha20-Poly1305 Nonce: 0000...0 Payload: { "data":"this is

    a signed message", "exp":"2019-01-01T00:00:00+00:00" } Footer:

  24. PASETO a JWT • ”alg”: “none” • RS256 → HS256

    • Statyczne klucze: to samo! • Podmiana tokenów: weryfikacja claimów!

  25. [email protected] Dołącz do nas!