Autorisierungstoken

Cyberkriminalität ist mittlerweile zu einem globalen Problem geworden. Zum Beispiel zitierte Dmitry Samartsev, Direktor von BI.ZONE im Bereich Cybersicherheit, die folgenden Zahlen auf dem Weltwirtschaftsforum. Im Jahr 2018 belief sich der Schaden für die Weltwirtschaft durch Cyberkriminalität auf 1,5 Billionen US-Dollar. Im Jahr 2022 werden Verluste bereits mit 8 Billionen prognostiziert, und im Jahr 2030 kann der Schaden durch Cyberkriminalität 90 Billionen überschreiten. Um die Verluste durch Cyberkriminalität zu verringern, müssen die Methoden zur Gewährleistung der Sicherheit der Benutzer verbessert werden. Derzeit stehen zahlreiche Authentifizierungs- und Autorisierungsmethoden zur Verfügung, um die Implementierung einer robusten Sicherheitsstrategie zu unterstützen. Unter ihnen identifizieren viele Experten die tokenbasierte Autorisierung als die beste.

Vor dem Aufkommen des Autorisierungstokens war ein System von Passwörtern und Servern weit verbreitet. Jetzt ist dieses System aufgrund seiner Einfachheit und Verfügbarkeit immer noch relevant. Die herkömmlichen Methoden stellen sicher, dass Benutzer jederzeit auf ihre Daten zugreifen können. Dies ist nicht immer effektiv. 

Betrachten Sie dieses System. Die Ideologie ihrer Anwendung basiert in der Regel auf folgenden Grundsätzen:

1. Konten werden erzeugt, d.h. Menschen kommen mit einer Kombination aus Buchstaben, Zahlen oder bekannten Symbolen, die ein Login und ein Passwort werden.

   
   
   
   
   

2. Um sich beim Server anmelden zu können, muss der Benutzer diese eindeutige Kombination speichern und immer Zugriff darauf haben.

   
   
   
   
   

3. Wenn es erforderlich ist, erneut eine Verbindung zum Server herzustellen und sich unter seinem Konto anzumelden, muss der Benutzer das Kennwort erneut eingeben und sich anmelden.

   
   
   
   
   

– . 1962 . , , , , , - . , . 

, , . , , . 

– , . . , . , , . . - , , . , , . 

. :

1. , . : , . , - USB- - , .

   
   
   
   
   

2. , , , . "magic ring" Microsoft.

   
   
   
   
   

3. , .

   
   
   
   
   

- , . , . , .

. . . , . : , , USB - . . , . , . , , .

. , , . .

?

- -, . , . , 3 :

1. ( )

   
   
   
   
   

2. ( , , FaceID)

   
   
   
   
   

3. 
   
   
   
   

, ( ), . ( (2FA)). , , . . .

?

, 60 . - , . , , .

, . , . , . , . , .

, , -. , , , . , 30 60 , . - , SMS.

, . , .

?

. - “ ”, , , .

, , 2FA, , . , - , .

, , , . , , . , , , . , .

, , . , , :

1. -. -, , - JSON (JWT). JWT (RFC 7519) . .

   
   
   
   
   

2. .

   
   
   
   
   

3. HTTPS-. HTTPS- , , . HTTPS-, HTTP , .

   
   
   
   
   

JSON -?

JSON Web Token (JWT) - (RFC 7519), JSON. . JWT ( HMAC) , , RSA ECDSA.

- JSON , : , , . JWT : «xxxx.yyyy.zzzz».

: , JWT, , HMAC SHA256 RSA.

- , . , . 

- , , . , iss - , , exp  - Unix Time, , , . 

, JWT. - IANA JSON URI, . - , , . Base64Url.

, .

, , , , , JWT , .

Base64-URL, , HTML HTTP, XML, SAML.

:

eyJhbGciOiJIUzUxMiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NSIsIm5hbWUiOiJKb2huIEdvbGQiLCJhZG1pbiI6dHJ1ZX0K.LIHjWCBORSWMEibq-tnT8ue_deUqZx1K0XxCOXZRrBI
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

JWT  - ; - , ; - , ,   . 

- JWT , - , ; - JWT , - , , , ; - , .

?

, ( ), - . .

, , .. , . .

, .. , . . 

. , . . 

. , .