0
ADFS 3.0에서 발행 한 JWT 토큰으로 보안 된 모바일 앱과 API를 구축하고 있습니다. 모바일 앱은 ADFS에 OAuth2 클라이언트로 등록됩니다. 누군가 JWT 토큰을 가로 챌 수 있고 API를 악의적으로 액세스하는 데 사용할 수 있을지 걱정됩니다.JWT + OAuth2 + ADFS 3.0 + 모바일 + API
제 질문은 API를 보호하기에 충분합니까?
A
답변
2
토큰은 실제로 민감하지만 몇 가지 요인으로 완화됩니다.
토큰은 인증 헤더로 전달됩니다. 헤더가 암호화되어 안전하기 때문에 https 호출을 통해서만 전달해야하는 이유입니다.
토큰은 잠시 동안 만 유효합니다.이 값을 원하는 값으로 설정할 수 있습니다. 예를 들어 1 시간 동안 설정했습니다. 누군가 토큰을 받았다하더라도, 그 토큰은 유효 기간이 지나면 사용할 수 있습니다.
토큰을 생성하는 방법도 보호해야합니다. ClientID와 ClientSecret을 안전하게 유지하십시오. 요격 할 수있는 URL과 같이 전달하지 마십시오.
이 모든 작업을 수행하면 누구나 인터넷에 연결될 수 있으므로 안전합니다.
마지막으로 한 점은 데이터베이스에 토큰을 저장하려는 사람들이 있습니다. 나는 그것을 반대하는 것이 좋습니다. 만료 될 때까지 재사용 할 수 있도록 안전한 방법으로 클라이언트 응용 프로그램에 보관하십시오.하지만 도난 당하거나 해킹 당할 수있는 기존 저장소를 사용하지 마십시오.
+0
을 사용해주세요.하지만 1 시간 후에 ADFS는 다시 인증을 요구합니다. 우리는 그것을 어떻게 영구히 만들 수 있습니까? –
관련 문제
- 1. ADFS 3.0 + Cordova Mobile App + API
- 2. 모바일 API 용 Jhipster Jwt 인증
- 3. adfs (oauth2) 토큰 유효성 검사 하우투?
- 4. 맞춤 API 용 OAuth2
- 5. 그리고/adfs/oauth2/authorize/wia로 리디렉션됩니까?
- 6. ADFS 3.0 연합은 비 ADFS ID 공급자와 작동합니까?
- 7. 구성 ADFS 2012 모바일 커넥터
- 8. 박스 API 인증 jwt
- 9. ADFS 3.0 단일 로그 아웃이 작동하지 않습니다.
- 10. API OAuth2 인증 및 사용
- 11. 모바일 웹 응용 프로그램에서 Google API OAuth2 액세스?
- 12. MapMyFitness API Oauth2 오류
- 13. OAuth2 GitHub API 토큰
- 14. PayPal - OAuth2 API 액세스?
- 15. 레일즈 3.0 모바일 사이트
- 16. ADFS 인증 위임 데스크톱/모바일 응용 프로그램
- 17. Google OAuth2 스프링 부팅 JSON API 로그인
- 18. 기존 jhipster 프로젝트를 JWT 인증에서 OAuth2 인증으로 변경
- 19. ADFS 3 OAuth 2 CORS 오류
- 20. Salesforce API : oauth2 access_token의 Instance_url
- 21. oauth2 서버의/api 메소드에 액세스
- 22. OAuth2 C# MVC로 API 호출하기
- 23. DotNetOpenAuth Basecamp API 용 OAuth2
- 24. Eventbrite API : oauth2-login-example.php
- 25. Google지도 API 3.0
- 26. 유튜브 API 광고 3.0
- 27. ADFS
- 28. ADFS
- 29. 스프링 보안 JWT와 Oauth2
- 30. 스프링 보안 3.0 모바일 클라이언트를위한 편안한 인증
JWT 차단을 방지하려면 다음을 수행해야합니다. 회신을 보내 주셔서 감사 드리며 https – Paulo