FirstJohn Feb 1 at 11:50

Почему PASETO лучше для аутентификации, чем JWT

8 min

12K

FirstVDS corporate blogInformation Security*Website development*Open source*Programming*

+12

Comments 9

SWATOPLUS Feb 1 at 12:21

Это просто JWT с зашифрованным payload, больше я не вижу никаких улучшений в безопасности. При этом особого смысла в этом нет. Если токен украли, то злоумышленник сможет им воспользоваться.

Про скорость кодирования/декодирования спорно. В JWT только парсинг JSON, а здесь еще нужно расшифровать. Уже 4 версии выпустили, а RFC нет и где тут про безопасность?

David_Osipov Feb 1 at 13:35

Тут согласен. Немаловажно ещё, что именно может получить доступ к токену - может ли javascript? А может ли вредоносное расширение браузера? В таком случае токен даже расшифровывать не надо, а просто переиспользовать и всё - привет доступ к системе.

Rsa97 Feb 1 at 12:46

токен не должен вызывать сложностей для анализа и исследования у разработчиков, аудиторов и т. д.

Поле payload — это всегда JSON, который шифруется при создании токена

Мне кажется, или это противоречащие друг другу пункты? Для просмотра JWT достаточно декодировать BASE64, а тут нужна полноценная дешифровка.

David_Osipov Feb 1 at 13:34

Не совсем, бывают токены подписанные и зашифрованные, наверное ещё бывают подписанные и зашифрованные, но не сталкивался. В том случае, если токен подписан, то да - его можно спокойно декодировать.

Rsa97 Feb 1 at 13:40

В JWT нет шифрации токена. Отдельные элементы payload могут быть зашифрованы, но это на совести разработчика. Сами поля JWT только кодируются в BASE64 без шифрации.

nik_the_spirit Feb 1 at 13:56

Формально, шифрованный вариант называется JWE. Подробнее в RFC https://datatracker.ietf.org/doc/html/rfc7516 Некоторые могут назвать его шифрованным JWT, потому что для конечного разработчика работа с ним схожа с JWT и многие библиотеки реализуют оба варианта.

yurii_habr Feb 2 at 09:53

Поле payload — это всегда JSON, который шифруется при создании токена

Шифруется только local токены, т.е. изначально идея в том, что прочитать данные могут только те у кого есть ключ, в статье подробно разбирался этот вариант, но есть еще public токены, которые подписываются и их содержимое можно прочитать также как и у JSON.

токен не должен вызывать сложностей для анализа и исследования у разработчиков, аудиторов и т. д.

PASETO позволяет без расшифровки узнать версию токена и алгоритм шифрования, а также определить тип токена local (данные зашифрованы и их можно узнать только при знании секретного ключа) или public (данные подписаны и их можно прочитать). Если нужно узнать другие данные, то также придется либо расшифровывать токен, либо декодировать

alex-khv Feb 2 at 15:26

Очень странно что называется platform agnostic, но полностью приколочен к cookies, uri, headers.

POPSuL Feb 11 at 13:10

И не решена главная проблема JWT -- отзыв токенов...