Token statt Cookies dank JWT

Transkript

1 Token statt Cookies dank JWT

2 Markus Schlichting Senior Software Engineer Basel, Schweiz Hackergarten

3 Sessions & Cookies

4 Sessions & Cookies Credentials validieren, Session erzeugen

5 Sessions & Cookies Credentials validieren, Session erzeugen Session Cookie

6 Sessions & Cookies Credentials validieren, Session erzeugen Session Cookie Session Store

7 Sessions & Cookies Credentials validieren, Session erzeugen Session Cookie Session Store

8 Sessions & Cookies Credentials validieren, Session erzeugen Session Cookie Session Store Session validieren, Zugriff kontrollieren

9 Sessions & Cookies Credentials validieren, Session erzeugen Session Cookie Session Store Session validieren, Zugriff kontrollieren

10 Sessions & Cookies Credentials validieren, Session erzeugen Session Cookie Session Store Session validieren, Zugriff kontrollieren

11 Sessions & Cookies

12 Sessions & Cookies Loadbalancing benötigt geteilten Sessionpool

13 Sessions & Cookies Loadbalancing benötigt geteilten Sessionpool Services werden gekoppelt

14 Sessions & Cookies Loadbalancing benötigt geteilten Sessionpool Services werden gekoppelt Cross Domain Authentifizierung: CORS

15 Sessions & Cookies Loadbalancing benötigt geteilten Sessionpool Services werden gekoppelt Cross Domain Authentifizierung: CORS CSRF Verwundbarkeit

16 Sessions & Cookies Loadbalancing benötigt geteilten Sessionpool Services werden gekoppelt Cross Domain Authentifizierung: CORS CSRF Verwundbarkeit Andere Clients ausser Browser?

17 JSON Web Token

18 JSON Web Token JSON Web Tokens are an open, industry standard method for representing claims securely between two parties. (RFC 7519)

19 JSON Web Token JSON Web Tokens are an open, industry standard method for representing claims securely between two parties. (RFC 7519) The suggested pronunciation of JWT is the same as the English word "jot".

20 JSON Web Token basierend auf anderen JSON-Standards: JWS (JSON Web Signature) JWE (JSON Web Encryption)

21 JSON Web Token basierend auf anderen JSON-Standards: JWS (JSON Web Signature) JWE (JSON Web Encryption) Bibliotheken für..!!!

22 JWT in Action

23 JWT in Action Credentials validieren, Token erzeugen

24 JWT in Action Credentials validieren, Token erzeugen Token speichern

25 JWT in Action Credentials validieren, Token erzeugen Token speichern

26 JWT in Action Credentials validieren, Token erzeugen Token speichern Token validieren, Zugriff kontrollieren

27 JWT in Action Credentials validieren, Token erzeugen Token speichern Token validieren, Zugriff kontrollieren

28 JWT - inside jwt.io

29 JWT - in practice Demo!

30 JWT Security Aspekte

31 JWT Security Aspekte immer verschlüsselt Kommunizieren ( HTTPS! )

32 JWT Security Aspekte immer verschlüsselt Kommunizieren ( HTTPS! ) URL Token vermeiden

33 JWT Security Aspekte immer verschlüsselt Kommunizieren ( HTTPS! ) URL Token vermeiden Token Handling: Invalidation, Reset

34 JWT Überblick

35 basiert auf JSON JWT Überblick

36 JWT Überblick basiert auf JSON einfach zu nutzen, einfach zu implementieren

37 JWT Überblick basiert auf JSON einfach zu nutzen, einfach zu implementieren symmetrische und asymmetrische Crypto

38 JWT Überblick basiert auf JSON einfach zu nutzen, einfach zu implementieren symmetrische und asymmetrische Crypto reduziert Abhängigkeiten

39 JWT Überblick basiert auf JSON einfach zu nutzen, einfach zu implementieren symmetrische und asymmetrische Crypto reduziert Abhängigkeiten Basisprinzip von REST: State transfer

40 Zusammenfassung

41 Zusammenfassung Cookies nicht obsolet, Token bieten jedoch viele Vorteile

42 Zusammenfassung Cookies nicht obsolet, Token bieten jedoch viele Vorteile JWT für Skalierbarkeit und Flexibilität

43 Zusammenfassung Cookies nicht obsolet, Token bieten jedoch viele Vorteile JWT für Skalierbarkeit und Flexibilität Cross Plattform

44 Zusammenfassung Cookies nicht obsolet, Token bieten jedoch viele Vorteile JWT für Skalierbarkeit und Flexibilität Cross Plattform Cookies oder Token? Anforderungen und Implikationen abwägen!

45 Demo Sources und Slides: