filmov
tv
Was sind JSON Web Tokens? JWT Einführung in 12 Minuten
Показать описание
Was sind JSON Web Tokens? Wie sehen #JWT aus? Wozu braucht man sie?
JSON Web Tokens sind der De-Facto-Standard, wenn es um Sicherheitsmechanismen im Internetzeitalter mit REST-APIs geht. Es vergeht kein Tag, an dem kein #Token in meinem Namen im Internet unterwegs ist: Sei es bei Microsoft, Google oder Amazon.
Häufig werden JWTs als Magie gesehen, da sie für Menschen schwierig lesbar sind (eyJhbGciOiJIU...). Aber das muss so nicht sein, denn im Grunde ist der Inhalt, wie im Video erklärt, meistens sehr einfach. Für die Sicherheit essentiell ist, ein Verständnis dafür zu haben, was mit JWTs gemacht werden kann oder wie sie - gegebenenfalls - auch mißbraucht werden können.
00:00 Einleitung
00:26 Tokens
01:56 JSON Web Tokens
07:42 Claims sub, iat und die Header alg, typ
11:29 Fazit
Wir folgen der RFC 7519 und unterscheiden die JWTs strukturell in JWS (JSON Web Signature, also signierte Tokens; kommt meistens zum Einsatz) und JWE (JSON Web Encryption, also verschlüsselte Tokens). In der JWS-Struktur betrachten wir Header, Payload und Signature. Die ersten beiden sind base64url-kodierte JSON-Objekte. base64url ist dabei eine Abart von base64, bei der + durch - sowie / und _ ersetzt und = weggelassen werden. Damit werden JWTs URL- sowie HTTP-freundlich und lassen sich leicht einbetten.
Als Beispiel nutzen wir den 'einfachsten' symmetrischen Signaturalgorithmus HS256. Das Token setzen wir initial zur Autorisierung ('wird der Zugriff genehmigt?') am API ein, später im Video dann nur noch zur Authentifizierung ('in wessen Namen wird zugegriffen?').
Im gezeichneten Beispiel greift hat mein Handy ein JWT von mir (Tobias) und greift auf eine Schnittstelle (API) des Customer-Relationship-Management-System (CRM) zu, um eine Kundenliste abzurufen.
Wir gehen auf die Header "alg" und "typ" ein, sowie auf die Claims "sub" und "iat". Funktional erklärt, aber nicht explizit beschrieben werden "exp" ("bis wann ist das Token gültig?") und "nbf" ("ab wann ist das Token gültig?").
Schulungen Online, in Bonn oder als Firmenseminar:
#API REST Sicherheit
Mich, Tobias Polley, findet ihr auf:
Twitter: @rrayst
JSON Web Tokens sind der De-Facto-Standard, wenn es um Sicherheitsmechanismen im Internetzeitalter mit REST-APIs geht. Es vergeht kein Tag, an dem kein #Token in meinem Namen im Internet unterwegs ist: Sei es bei Microsoft, Google oder Amazon.
Häufig werden JWTs als Magie gesehen, da sie für Menschen schwierig lesbar sind (eyJhbGciOiJIU...). Aber das muss so nicht sein, denn im Grunde ist der Inhalt, wie im Video erklärt, meistens sehr einfach. Für die Sicherheit essentiell ist, ein Verständnis dafür zu haben, was mit JWTs gemacht werden kann oder wie sie - gegebenenfalls - auch mißbraucht werden können.
00:00 Einleitung
00:26 Tokens
01:56 JSON Web Tokens
07:42 Claims sub, iat und die Header alg, typ
11:29 Fazit
Wir folgen der RFC 7519 und unterscheiden die JWTs strukturell in JWS (JSON Web Signature, also signierte Tokens; kommt meistens zum Einsatz) und JWE (JSON Web Encryption, also verschlüsselte Tokens). In der JWS-Struktur betrachten wir Header, Payload und Signature. Die ersten beiden sind base64url-kodierte JSON-Objekte. base64url ist dabei eine Abart von base64, bei der + durch - sowie / und _ ersetzt und = weggelassen werden. Damit werden JWTs URL- sowie HTTP-freundlich und lassen sich leicht einbetten.
Als Beispiel nutzen wir den 'einfachsten' symmetrischen Signaturalgorithmus HS256. Das Token setzen wir initial zur Autorisierung ('wird der Zugriff genehmigt?') am API ein, später im Video dann nur noch zur Authentifizierung ('in wessen Namen wird zugegriffen?').
Im gezeichneten Beispiel greift hat mein Handy ein JWT von mir (Tobias) und greift auf eine Schnittstelle (API) des Customer-Relationship-Management-System (CRM) zu, um eine Kundenliste abzurufen.
Wir gehen auf die Header "alg" und "typ" ein, sowie auf die Claims "sub" und "iat". Funktional erklärt, aber nicht explizit beschrieben werden "exp" ("bis wann ist das Token gültig?") und "nbf" ("ab wann ist das Token gültig?").
Schulungen Online, in Bonn oder als Firmenseminar:
#API REST Sicherheit
Mich, Tobias Polley, findet ihr auf:
Twitter: @rrayst
0:12:40
Was sind JSON Web Tokens (JWT)? // deutsch
0:12:10
Was sind JSON Web Tokens? JWT Einführung in 12 Minuten
0:14:53
What Is JWT and Why Should You Use JWT
0:02:15
JWT Explained - in 2 minutes (JSON Web Tokens)
0:14:36
JSON Web Tokens
0:05:11
JWT in 5 Minuten verstehen | Was ist JWT (JSON Web Token)?
0:08:25
JWT Authentication Flow - Schnell Erklärt
0:00:49
JWT
0:16:00
Is Your Login System Vulnerable? Fix It Before It’s Too Late! - Code With Mark
0:25:11
JWTs: What JavaScript Developers Need to Know - Akira Brand
0:22:59
Flask - JSON Web Tokens - JWT Extended [German/Deutsch]
0:12:18
Что такое JWT?
![[#48] Einführung in](https://i.ytimg.com/vi/9aDbY7bcIt4/hqdefault.jpg)
0:09:28
[#48] Einführung in RESTful APIs: Authentifizierung mit JWT
0:27:52
The Hacker's Guide to JWT Security
0:04:44
Was ist ein Bearer Token? API Sicherheit #1
0:03:58
Was ist eine REST-API? - Einführung in REST-APIs (incl. Authentication) | UPDATE von alten Video
0:00:46
API-Sicherheit: Was ist Authentifizierung und Autorisierung?
0:29:09
JSON Web Keys (JWK & JWT) - 'Emergency' - HackTheBox Business CTF
0:39:50
Markus Schlichting - Token statt Cookies dank JWT
0:32:09
REST-API absichern mit JWTs und Spring Security - Java und Spring Boot Tutorial Deutsch
0:14:46
Python Flask Tutorial #12 - das Sichern von API Endpunkten - Login mit JWT´s
0:05:50
JWT Explained in Moroccan Darija
0:31:00
Refresh Access Token Authentication 🔹 Web Security (German)
0:08:23
Different JWT Secret per User
Комментарии