ADFS 3.0から発行されたJWTトークンで保護されたモバイルアプリケーションとAPIを構築しています。モバイルアプリは、ADFSにOAuth2クライアントとして登録されています。私は、誰かがJWTトークンを傍受し、それを悪意のあるAPIにアクセスするために使用することが懸念されています。JWT + OAuth2 + ADFS 3.0 +モバイル+ API
私の質問はこれでAPIを保護するのに十分でしょうか?
ADFS 3.0から発行されたJWTトークンで保護されたモバイルアプリケーションとAPIを構築しています。モバイルアプリは、ADFSにOAuth2クライアントとして登録されています。私は、誰かがJWTトークンを傍受し、それを悪意のあるAPIにアクセスするために使用することが懸念されています。JWT + OAuth2 + ADFS 3.0 +モバイル+ API
私の質問はこれでAPIを保護するのに十分でしょうか?
トークンは実際には機密ですが、これはいくつかの要因によって軽減されます。
トークンは認証ヘッダーに渡されます。これは、ヘッダーがその時点で暗号化され、安全であるため、https呼び出しで渡す必要がある理由です。
トークンはしばらくの間有効です。この値は、任意の値に設定できます。私はそれらを例えば1時間セットアップした。誰かがトークンを取得したとしても、そのトークンを無効にすることができます。
トークンの生成方法も保護する必要があります。 ClientIDとClientSecretは安全に保ちます。例えば傍受される可能性のあるURLにそれらを渡さないでください。
これを行うと、誰でもインターネットに接続できるようになります。
私の最後の1つのポイントは、トークンをデータベースに保存する人がいることです。私はそれに反対することをお勧めします。期限が切れるまでそれらを再利用することができるように、あなたのクライアントアプリケーションの中にはい、安全な方法でそれらを保ちますが、盗まれたり、ハッキングされる可能性がある従来のストレージを使用しないでください。
を使用しますが、1時間後にADFSは再度認証を求めます。それを永続化するにはどうしたらいいですか? –
JWTの傍受を避けるためには、返信に感謝してhttps – Paulo