0
ADFS 3.0から発行されたJWTトークンで保護されたモバイルアプリケーションとAPIを構築しています。モバイルアプリは、ADFSにOAuth2クライアントとして登録されています。私は、誰かがJWTトークンを傍受し、それを悪意のあるAPIにアクセスするために使用することが懸念されています。JWT + OAuth2 + ADFS 3.0 +モバイル+ API
私の質問はこれでAPIを保護するのに十分でしょうか?
A
答えて
2
トークンは実際には機密ですが、これはいくつかの要因によって軽減されます。
トークンは認証ヘッダーに渡されます。これは、ヘッダーがその時点で暗号化され、安全であるため、https呼び出しで渡す必要がある理由です。
トークンはしばらくの間有効です。この値は、任意の値に設定できます。私はそれらを例えば1時間セットアップした。誰かがトークンを取得したとしても、そのトークンを無効にすることができます。
トークンの生成方法も保護する必要があります。 ClientIDとClientSecretは安全に保ちます。例えば傍受される可能性のあるURLにそれらを渡さないでください。
これを行うと、誰でもインターネットに接続できるようになります。
私の最後の1つのポイントは、トークンをデータベースに保存する人がいることです。私はそれに反対することをお勧めします。期限が切れるまでそれらを再利用することができるように、あなたのクライアントアプリケーションの中にはい、安全な方法でそれらを保ちますが、盗まれたり、ハッキングされる可能性がある従来のストレージを使用しないでください。
+0
を使用しますが、1時間後にADFSは再度認証を求めます。それを永続化するにはどうしたらいいですか? –
関連する問題
- 1. ADFS 3.0 + Cordova Mobile App + API
- 2. ADFSと.NetコアのOAuth2 JWTトークンの設定
- 3. OAuth2クライアントとADFS 3.0で永続SSOを作成
- 4. adfs(oauth2)トークン検証howto?
- 5. Spring + Oauth2 + JWT + Websocket
- 6. ADFS 3.0リライアブルパーティURLリダイレクト
- 7. モバイルAPI用のJhipster Jwt認証
- 8. セキュリティ - JWTとOauth2(リフレッシュトークン)
- 9. は何アズールAD「クラシック」、ADFS「3.0」&B2C
- 10. モバイル上のADFSを使用するSSO
- 11. ADFS 3.0サーバーは、のOAuth2には私たちは一つのドメイン上のADFSサーバのセットアップ持って
- 12. oAuth2 JWTトークン検証プロセス
- 13. カスタムAPIのOAuth2
- 14. ADFS 3.0証明書認証
- 15. ADFS 3.0 Signout for Drupal 8 samlauth
- 16. 変更ADFS 3.0ログインページのURL
- 17. ADFS 3.0 + NGINX EventID 342と500
- 18. ADFSとJWTによるネイティブアプリケーション認証
- 19. ADFS認可プロバイダを使用するSpring Oauth2
- 20. ADFS + IdentityServer3 + Mobile + MVC
- 21. スプリングセキュリティOAuth2 JWTトークンリレーの問題
- 22. OAuth2のユーザープロフィール情報を得るJWT
- 23. ADFS 3.0 ADFSからのクレームを渡していない2.0
- 24. .net ADFS 2012でコアのApi認証
- 25. CRM Web Api ADFS OAuth
- 26. JWT Oauth2リフレッシュトークンを取り消します
- 27. ADFS 3.0でトークンと認証エンドポイントを変更する方法
- 28. ADFS 3.0 SAMLトークンのカスタム属性
- 29. ADFS 3.0シングルサインアウトが動作しない
- 30. ADFS 3.0 SaaSプロバイダーのIdP開始サインイン
JWTの傍受を避けるためには、返信に感謝してhttps – Paulo