Alle
OAuth

Wie gehen Sie mit JWT-Ablauf und -Widerruf in Ihrer Web-API um?

Bereitgestellt von KI und der LinkedIn Community

Web-APIs sind eine gängige Methode, um Daten und Funktionen über das Internet für andere Anwendungen verfügbar zu machen. Sie müssen jedoch auch vor unbefugtem Zugriff und böswilligen Angriffen geschützt werden. Eine der beliebtesten und am weitesten verbreiteten Methoden zum Sichern von Web-APIs ist die Verwendung von JSON-Webtoken (JWTs) in Kombination mit OAuth 2.0. In diesem Artikel erfahren Sie, was JWTs und OAuth 2.0 sind, wie sie zusammenarbeiten, um Web-API-Anforderungen zu authentifizieren und zu autorisieren, und wie Sie mit JWT-Ablauf und -Widerruf in Ihrer Web-API umgehen.

In diesem gemeinsamen Artikel finden Sie Antworten von Expert:innen.

Von der Community unter 3 Beiträgen ausgewählt. Mehr erfahren

1 Was sind JWTs und OAuth 2.0?

JWTs sind ein Standardformat für die Darstellung von Ansprüchen oder Behauptungen zwischen Parteien. Sie bestehen aus drei Teilen: einem Header, einer Nutzlast und einer Signatur. Der Header enthält Metadaten über das Token, z. B. den Algorithmus, mit dem es signiert wurde. Die Nutzlast enthält die eigentlichen Ansprüche, z. B. die Identität des Benutzers, Rollen, Berechtigungen oder andere Informationen. Die Signatur ist ein kryptografischer Hash des Headers und der Nutzlast, der einen geheimen Schlüssel oder ein öffentliches/privates Schlüsselpaar verwendet. JWTs sind in sich geschlossen und können ohne Kontaktaufnahme mit einer zentralen Behörde verifiziert werden, wodurch sie für zustandslose und verteilte Szenarien geeignet sind.

OAuth 2.0 ist ein Framework zum Delegieren von Autorisierungen an Anwendungen von Drittanbietern. Es ermöglicht Benutzern, eingeschränkten Zugriff auf ihre Ressourcen, z. B. Web-APIs, zu gewähren, ohne ihre Anmeldeinformationen weiterzugeben. OAuth 2.0 definiert vier Rollen: den Ressourcenbesitzer, den Ressourcenserver, den Client und den Autorisierungsserver. Der Ressourcenbesitzer ist der Benutzer, der die Ressource besitzt, z. B. eine Web-API. Der Ressourcenserver ist der Server, der die Ressource hostet und Zugriffsrichtlinien erzwingt. Der Client ist die Anwendung, die im Namen des Benutzers Zugriff auf die Ressource anfordert. Der Autorisierungsserver ist der Server, der Zugriffstoken an den Client ausstellt, nachdem die Zustimmung des Benutzers überprüft wurde.

Fügen Sie Ihre Sichtweise hinzu

2 Wie arbeiten JWTs und OAuth 2.0 zusammen?

JWTs und OAuth 2.0 arbeiten zusammen, um eine sichere und skalierbare Lösung für die Authentifizierung und Autorisierung von Web-APIs bereitzustellen. Der Prozess beginnt, wenn der Client ein Zugriffstoken vom Autorisierungsserver anfordert, in dem er seine Anmeldeinformationen und den erforderlichen Zugriffsbereich angibt. Der Autorisierungsserver validiert den Client und fordert den Benutzer auf, dem angeforderten Zugriffsbereich zuzustimmen. Wenn der Benutzer die Zustimmung erteilt oder verweigert, leitet der Autorisierungsserver den Client an eine Rückruf-URL mit einem Autorisierungscode weiter. Dieser Code wird gegen ein Zugriffstoken ausgetauscht, bei dem es sich um ein JWT handelt, das die Identität des Benutzers, den Zugriffsbereich und andere Ansprüche enthält. Der Client sendet dieses Token als Bearertoken im Autorisierungsheader jeder Web-API-Anforderung, die dann vom Ressourcenserver überprüft wird, indem die Signatur, der Ablauf und der Bereich überprüft werden. Der Zugriff wird basierend auf diesen Kriterien entweder gewährt oder verweigert.

Fügen Sie Ihre Sichtweise hinzu

3 Wie gehen Sie mit dem Ablauf und der Sperrung von JWT in Ihrer Web-API um?

Eine der Herausforderungen bei der Verwendung von JWTs für die Web-API-Sicherheit ist der Umgang mit dem Ablauf und der Sperrung von Token. Beim Tokenablauf wird ein Zeitlimit für die Gültigkeit festgelegt, während beim Tokenwiderruf ein Token vor seinem Ablauf ungültig wird, z. B. im Falle eines Verstoßes oder einer Änderung von Berechtigungen. Beides ist wichtig, um die Sicherheit zu gewährleisten und unbefugten Zugriff zu verhindern. Abhängig von Ihren Anforderungen gibt es verschiedene Möglichkeiten, den Ablauf und die Sperrung von Token zu behandeln, z. B. die Verwendung kurzlebiger Token und Aktualisierungstoken, Blacklists oder Whitelists oder zustandsbehaftete Token. Jede Option hat ihre eigenen Vor- und Nachteile, daher sollten Sie diejenige wählen, die Ihren Bedürfnissen und Einschränkungen am besten entspricht. Darüber hinaus sollten andere Faktoren wie Tokengröße, Verschlüsselung, Zwischenspeicherung, Protokollierung, Überwachung und Überwachung beim Entwerfen und Implementieren Ihrer Web-API-Sicherheitsstrategie berücksichtigt werden.

Fügen Sie Ihre Sichtweise hinzu

Spencer Huang

Technical Program Manager | ML & GenAI Hobbyist | Ex-Oracle
Beitrag melden
Before discussing JWT token validation, from the resource server's point of view, one way to validate incoming JWT without sacrificing performance is to use Json Web Key (JWK) to avoid the extra calling to the authorization server via introspective.

Übersetzt

Gefällt mir

OAuth

+ Folgen

Diesen Artikel bewerten

Wir haben diesen Artikel mithilfe von KI erstellt. Wie finden Sie ihn?

Sehr gut Geht so

Diesen Artikel melden

Alle anzeigen

Wie gehen Sie mit JWT-Ablauf und -Widerruf in Ihrer Web-API um?

1

2

3

1 Was sind JWTs und OAuth 2.0?

2 Wie arbeiten JWTs und OAuth 2.0 zusammen?

3 Wie gehen Sie mit dem Ablauf und der Sperrung von JWT in Ihrer Web-API um?

OAuth

Diesen Artikel bewerten

Vielen Dank für Ihr Feedback

Weitere Artikel zu OAuth

Relevantere Lektüre