Стоит ли использовать json web tokens?

Question

[Wasya UK]

В процесе изучения node столкнулся с токенами. Стоит ли делать аутентификацию приложения основаную на них, ведь если получить секретную стору, то можно розшифрировать все пароли?

Comments

[Wasya UK]

Артём Петренков, Просто прочитал это вот и задался вопросом

Поищем по словам express js jwt в Google и откроем первый материал в поисковой выдаче, руководство Сони Панди об аутентификации пользователей с применением JWT. К несчастью, этот материал нам ничем не поможет, так как в нём не используется Passport, но пока мы на него смотрим, отметим некоторые ошибки в хранении учётных данных:

Ключи JWT хранятся в виде обычного текста в GitHub-репозитории.

Для хранения паролей используется симметричный шифр. Это означает, некто может завладеть ключом шифрования и расшифровать все пароли. К тому же, тут наблюдаются неправильные взаимоотношения между ключом шифрования и секретным ключом JWT.

https://habrahabr.ru/company/ruvds/blog/335434/

Answer 1

[Alexander Leonchik]

JWT это возможность подписать нужный тебе "текст", отдать кому то и проверить его (что он не был изменен) в дальнейшем когда он тебе придет обратно. Много проектов его используют, полет нормальный.

Пароли в нем не хранят, как и любую приватную информацию, ведь любой JWT можно просмотреть без ключа.
А утечка secret key это не проблема JWT, а вашей организации.

P.S. шифрование и JWT мало чем связанны, а ключ - это всего лишь подпись, его утечка ведет за собой возможность подделать токен

Comments

[Wasya UK]

Стоит ли использовать его для авторизации, или же лучше использовать salt + sha?

[Alexander Leonchik]

Wasya UK, да у них смысл разный, salt + sha служит для того что бы хранить например пароль в безопасном виде в базе, а при авторизации вводимый пароль пользователя так же хэшировать и сверять === т.е. авторизировать пользователя (в основном)

JWT нужен для того что бы аутентифицировать пользователя путем хранения идентификатора.

т.е. ты получил корректный логин/пароль от пользователя и возвращаешь ему JWT токен в котором хранишь например

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

подписываешь этот токен секретным ключем который знаешь только ты и как итог возвращаешь ему JWT:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.3Ifx7N0uSiANG2fnqJneY6gjY9I4MMFxUE9tfRLhrgo

этот токен легко расшифровать например тут https://jwt.io

но верифицировать/подтвердить его (что он не изменен, что в него ничего не добавили) ты можешь только на сервере использую подпись. От примера ключ - secret_toster