معرفی JSON Web Token

اندازه‌ی قلم متن

تخمین مدت زمان مطالعه‌ی مطلب: ده دقیقه

دو روش کلی و پرکاربرد اعتبارسنجی سمت سرور، برای برنامه‌های سمت کاربر وب وجود دارند:
الف) Cookie-Based Authentication که پرکاربردترین روش بوده و در این حالت به ازای هر درخواست، یک کوکی جهت اعتبارسنجی کاربر به سمت سرور ارسال می‌شود (و برعکس).

ب) Token-Based Authentication که بر مبنای ارسال یک توکن امضاء شده به سرور، به ازای هر درخواست است.

مزیت‌های استفاده‌ی از روش مبتنی بر توکن چیست؟

• Cross-domain / CORS: کوکی‌ها و CORS آنچنان با هم سازگاری ندارند؛ چون صدور یک کوکی وابسته‌است به دومین مرتبط به آن و استفاده‌ی از آن در سایر دومین‌ها عموما پذیرفته شده نیست. اما روش مبتنی بر توکن، وابستگی به دومین صدور آن‌را ندارد و اصالت آن بر اساس روش‌های رمزنگاری تصدیق می‌شود.
• بدون حالت بودن و مقیاس پذیری سمت سرور: در حین کار با توکن‌ها، نیازی به ذخیره‌ی اطلاعات، داخل سشن سمت سرور نیست و توکن موجودیتی است خود شمول (self-contained). به این معنا که حاوی تمام اطلاعات مرتبط با کاربر بوده و محل ذخیره‌ی آن در local storage و یا کوکی سمت کاربر می‌باشد.
• توزیع برنامه با CDN: حین استفاده از روش مبتنی بر توکن، امکان توزیع تمام فایل‌های برنامه (جاوا اسکریپت، تصاویر و غیره) توسط CDN وجود دارد و در این حالت کدهای سمت سرور، تنها یک API ساده خواهد بود.
• عدم در هم تنیدگی کدهای سمت سرور و کلاینت: در حالت استفاده‌ی از توکن، این توکن می‌تواند از هرجایی و هر برنامه‌ای صادر شود و در این حالت نیازی نیست تا وابستگی ویژه‌ای بین کدهای سمت کلاینت و سرور وجود داشته باشد.
• سازگاری بهتر با سیستم‌های موبایل: در حین توسعه‌ی برنامه‌های بومی پلتفرم‌های مختلف موبایل، کوکی‌ها روش مطلوبی جهت کار با APIهای سمت سرور نیستند. تطابق یافتن با روش‌های مبتنی بر توکن در این حالت ساده‌تر است.
• CSRF: از آنجائیکه دیگر از کوکی استفاده نمی‌شود، نیازی به نگرانی در مورد حملات CSRF نیست. چون دیگر برای مثال امکان سوء استفاده‌ی از کوکی فعلی اعتبارسنجی شده، جهت صدور درخواست‌هایی با سطح دسترسی شخص لاگین شده وجود ندارد؛ چون این روش کوکی را به سمت سرور ارسال نمی‌کند.
• کارآیی بهتر: حین استفاده‌ی از توکن‌ها، به علت ماهیت خود شمول آن‌ها، رفت و برگشت کمتری به بانک اطلاعاتی صورت گرفته و سرعت بالاتری را شاهد خواهیم بود.
• امکان نوشتن آزمون‌های یکپارچگی ساده‌تر: در حالت استفاده‌ی از توکن‌ها، آزمودن یکپارچگی برنامه، نیازی به رد شدن از صفحه‌ی لاگین را ندارد و پیاده سازی این نوع آزمون‌ها ساده‌تر از قبل است.
• استاندارد بودن: امروزه همینقدر که استاندارد JSON Web Token را پیاده سازی کرده باشید، امکان کار با انواع و اقسام پلتفرم‌ها و کتابخانه‌ها را خواهید یافت.

اما JWT یا JSON Web Token چیست؟

JSON Web Token یا JWT یک استاندارد وب است (RFC 7519) که روشی فشرده و خود شمول (self-contained) را جهت انتقال امن اطلاعات، بین مقاصد مختلف را توسط یک شیء JSON، تعریف می‌کند. این اطلاعات، قابل تصدیق و اطمینان هستند؛ از این‌رو که به صورت دیجیتال امضاء می‌شوند. JWTها توسط یک کلید مخفی (با استفاده از الگوریتم HMAC) و یا یک جفت کلید خصوصی و عمومی (توسط الگوریتم RSA) قابل امضاء شدن هستند.
در این تعریف، واژه‌هایی مانند «فشرده» و «خود شمول» بکار رفته‌اند:
- «فشرده بودن»: اندازه‌ی شیء JSON یک توکن در این حالت کوچک بوده و به سادگی از طریق یک URL و یا پارامترهای POST و یا داخل یک HTTP Header قابل ارسال است و به دلیل کوچک بودن این اندازه، انتقال آن نیز سریع است.
- «خود شمول»: بار مفید (payload) این توکن، شامل تمام اطلاعات مورد نیاز جهت اعتبارسنجی یک کاربر است؛ تا دیگر نیازی به کوئری گرفتن هر باره‌ی از بانک اطلاعاتی نباشد (در این روش مرسوم است که فقط یکبار از بانک اطلاعاتی کوئری گرفته شده و اطلاعات مرتبط با کاربر را امضای دیجیتال کرده و به سمت کاربر ارسال می‌کنند).

چه زمانی بهتر است از JWT استفاده کرد؟

اعتبارسنجی: اعتبارسنجی یک سناریوی متداول استفاده‌ی از JWT است. زمانیکه کاربر به سیستم لاگین کرد، هر درخواست بعدی او شامل JWT خواهد بود که سبب می‌شود کاربر بتواند امکان دسترسی به مسیرها، صفحات و منابع مختلف سیستم را بر اساس توکن دریافتی، پیدا کند. برای مثال روش‌های «Single Sign On» خود را با JWT انطباق داده‌اند؛ از این جهت که سربار کمی را داشته و همچنین به سادگی توسط دومین‌های مختلفی قابل استفاده هستند.
انتقال اطلاعات: توکن‌های با فرمت JWT، روش مناسبی جهت انتقال اطلاعات امن بین مقاصد مختلف هستند؛ زیرا قابل امضاء بوده و می‌توان اطمینان حاصل کرد که فرستنده دقیقا همانی است که ادعا می‌کند و محتوای ارسالی دست نخورده‌است.

ساختار یک JWT به چه صورتی است؟

JWTها دارای سه قسمت جدا شده‌ی با نقطه هستند؛ مانند xxxxx.yyyyy.zzzzz و شامل header، payload و signature می‌باشند.
الف) Header
Header عموما دارای دو قسمت است که نوع توکن و الگوریتم مورد استفاده‌ی توسط آن را مشخص می‌کند:

 {
   "alg": "HS256",
   "typ": "JWT"
}

نوع توکن در اینجا JWT است و الگوریتم‌های مورد استفاده، عموما HMAC SHA256 و یا RSA هستند.

ب) payload
payload یا «بار مفید» توکن، شامل claims است. منظور از claims، اطلاعاتی است در مورد موجودیت مدنظر (عموما کاربر) و یک سری متادیتای اضافی. سه نوع claim وجود دارند:
Reserved claims: یک سری اطلاعات مفید و از پیش تعیین شده‌ی غیراجباری هستند؛ مانند:
iss یا صادر کنند (issuer)، exp یا تاریخ انقضاء، sub یا عنوان (subject) و aud یا مخاطب (audience)
Public claims: می‌تواند شامل اطلاعاتی باشد که توسط IANA JSON Web Token Registry پیشتر ثبت شده‌است و فضاهای نام آن‌ها تداخلی نداشته باشند.
Private claims: ادعای سفارشی هستند که جهت انتقال داده‌ها بین مقاصد مختلف مورد استفاده قرار می‌گیرند.
یک نمونه‌ی payload را در اینجا ملاحظه می‌کنید:

 {
   "sub": "1234567890",
   "name": "John Doe",
   "admin": true
}

این اطلاعات (هم header و هم payload)، به صورت base64 انکد شده و به JWT اضافه می‌شوند.

ج) signature
یک نمونه فرمول محاسبه‌ی امضای دیجیتال پیام JWT به صورت ذیل است:

 HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

در اینجا بر اساس الگوریتم HMAC SHA256، هدر و بار مفید پیام به صورت base64 دریافت و به کمک یک کلید مخفی، محاسبه و به JWT اضافه می‌شود تا توسط آن بتوان اصالت پیام و فرستنده‌ی آن‌را تائید کرد. امضاء نیز در نهایت با فرمت base64 در اینجا انکد می‌شود:

یک نمونه مثال تولید این نوع توکن‌ها را در آدرس https://jwt.io می‌توانید بررسی کنید.
در این سایت اگر به قسمت دیباگر آن مراجعه کنید، برای نمونه قسمت payload آن قابل ویرایش است و تغییرات را بلافاصله در سمت چپ، به صورت انکد شده نمایش می‌دهد.

یک نکته‌ی مهم: توکن‌ها امضاء شده‌اند؛ نه رمزنگاری شده

همانطور که عنوان شد، توکن‌ها از سه قسمت هدر، بار مفید و امضاء تشکیل می‌شوند (header.payload.signature). اگر از الگوریتم HMACSHA256 و کلید مخفی shhhh برای امضای بار مفید ذیل استفاده کنیم:

 {
   "sub": "1234567890",
   "name": "Ado Kukic",
   "admin": true
}

یک چنین خروجی باید حاصل شود:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkFkbyBLdWtpYyIsImFkbWluIjp0cnVlLCJpYXQiOjE0NjQyOTc4ODV9.Y47kJvnHzU9qeJIN48_bVna6O0EDFiMiQ9LpNVDFymM

در اینجا باید دقت داشت که هدر و بار مفید آن، صرفا با الگوریتم base64 انکد شده‌اند و این به معنای رمزنگاری نیست. به عبارتی می‌توان اطلاعات کامل هدر و بار مفید آن‌را به دست آورد. بنابراین هیچگاه اطلاعات حساسی را مانند کلمات عبور، در اینجا ذخیره نکنید.
البته امکان رمزنگاری توسط JSON Web Encryption نیز پیش بینی شده‌است (JWE).

از JWT در برنامه‌ها چگونه استفاده می‌شود؟

زمانیکه کاربر، لاگین موفقی را به سیستم انجام می‌دهد، یک توکن امن توسط سرور صادر شده و با فرمت JWT به سمت کلاینت ارسال می‌شود. این توکن باید به صورت محلی در سمت کاربر ذخیره شود. عموما از local storage برای ذخیره‌ی این توکن استفاده می‌شود؛ اما استفاده‌ی از کوکی‌ها نیز منعی ندارد. بنابراین دیگر در اینجا سشنی در سمت سرور به ازای هر کاربر ایجاد نمی‌شود و کوکی سمت سروری به سمت کلاینت ارسال نمی‌گردد.
سپس هر زمانیکه کاربری قصد داشت به یک صفحه یا محتوای محافظت شده دسترسی پیدا کند، باید توکن خود را به سمت سرور ارسال نماید. عموما اینکار توسط یک header سفارشی Authorization به همراه Bearer schema صورت می‌گیرد و یک چنین شکلی را دارد:

 Authorization: Bearer <token>

این روش اعتبارسنجی، بدون حالت (stateless) است؛ از این جهت که وضعیت کاربر، هیچگاه در سمت سرور ذخیره نمی‌گردد. API سمت سرور، ابتدا به دنبال هدر Authorization فوق، در درخواست دریافتی می‌گردد. اگر یافت شد و اصالت آن تائید شد، کاربر امکان دسترسی به منبع محافظت شده را پیدا می‌کند. نکته‌ی مهم اینجا است که چون این توکن‌ها «خود شمول» هستند و تمام اطلاعات لازم جهت اعطای دسترسی‌های کاربر به او، در آن وجود دارند، دیگر نیازی به رفت و برگشت به بانک اطلاعاتی، جهت تائید این اطلاعات تصدیق شده، نیست. به همین جهت کارآیی و سرعت بالاتری را نیز به همراه خواهند داشت.

نگاهی به محل ذخیره سازی JWT و نکات مرتبط با آن

محل متداول ذخیره‌ی JWT ها، در local storage مرورگرها است و در اغلب سناریوها نیز به خوبی کار می‌کند. فقط باید دقت داشت که local storage یک sandbox است و محدود به دومین جاری برنامه و از طریق برای مثال زیر دامنه‌های آن قابل دسترسی نیست. در این حالت می‌توان JWT را در کوکی‌های ایجاد شده‌ی در سمت کاربر نیز ذخیره کرد که چنین محدودیتی را ندارند. اما باید دقت داشت که حداکثر اندازه‌ی حجم کوکی‌ها 4 کیلوبایت است و با افزایش claims ذخیره شده‌ی در یک JWT و انکد شدن آن، این حجم ممکن است از 4 کیلوبایت بیشتر شود. بنابراین باید به این نکات دقت داشت.
امکان ذخیره سازی توکن‌ها در session storage مرورگرها نیز وجود دارد. session storage بسیار شبیه است به local storage اما به محض بسته شدن مرورگر، پاک می‌شود.
اگر از local storage استفاده می‌کنید، حملات Cross Site Request Forgery در اینجا دیگر مؤثر نخواهند بود. اما اگر به حالت استفاده‌ی از کوکی‌ها برای ذخیره‌ی توکن‌ها سوئیچ کنید، این مساله همانند قبل خواهد بود و مسیر است. در این حالت بهتر است طول عمر توکن‌ها را تاحد ممکن کوتاه تعریف کنید تا اگر اطلاعات آن‌ها فاش شد، به زودی بی‌مصرف شوند.

انقضاء و صدور مجدد توکن‌ها به چه صورتی است؟

توکن‌های بدون حالت، صرفا بر اساس بررسی امضای پیام رسیده کار می‌کنند. به این معنا که یک توکن می‌تواند تا ابد معتبر باقی بماند. برای رفع این مشکل باید exp یا تاریخ انقضای متناسبی را به توکن اضافه کرد. برای برنامه‌های حساس این عدد می‌تواند 15 دقیقه باشد و برای برنامه‌های کمتر حساس، چندین ماه.
اما اگر در این بین قرار به ابطال سریع توکنی بود چه باید کرد؟ (مثلا کاربری را در همین لحظه غیرفعال کرده‌اید)
یک راه حل آن، ثبت رکورد‌های تمام توکن‌های صادر شده در بانک اطلاعاتی است. برای این منظور می‌توان یک فیلد id مانند را به توکن اضافه کرد و آن‌را صادر نمود. این idها را نیز در بانک اطلاعاتی ذخیره می‌کنیم. به این ترتیب می‌توان بین توکن‌های صادر شده و کاربران و اطلاعات به روز آن‌ها ارتباط برقرار کرد. در این حالت برنامه علاوه بر بررسی امضای توکن، می‌تواند به لیست idهای صادر شده و ذخیره شده‌ی در دیتابیس نیز مراجعه کرده و اعتبارسنجی اضافه‌تری را جهت باطل کردن سریع توکن‌ها انجام دهد. هرچند این روش دیگر آنچنان stateless نیست، اما با دنیای واقعی سازگاری بیشتری دارد.

حداکثر امنیت JWTها را چگونه می‌توان تامین کرد؟

- تمام توکن‌های خود را با یک کلید قوی، امضاء کنید و این کلید تنها باید بر روی سرور ذخیره شده باشد. هر زمانیکه سرور توکنی را از کاربر دریافت می‌کند، این سرور است که باید کار بررسی اعتبار امضای پیام رسیده را بر اساس کلید قوی خود انجام دهد.
- اگر اطلاعات حساسی را در توکن‌ها قرار می‌دهید، باید از JWE یا JSON Web Encryption استفاده کنید؛ زیرا JWTها صرفا دارای امضای دیجیتال هستند و نه اینکه رمزنگاری شده باشند.
- بهتر است توکن‌ها را از طریق ارتباطات غیر HTTPS، ارسال نکرد.
- اگر از کوکی‌ها برای ذخیره سازی آن‌ها استفاده می‌کنید، از HTTPS-only cookies استفاده کنید تا از Cross-Site Scripting XSS attacks در امان باشید.
- مدت اعتبار توکن‌های صادر شده را منطقی انتخاب کنید.

‫۸ سال و ۳ ماه قبل، سه‌شنبه ۲۵ خرداد ۱۳۹۵، ساعت ۲۰:۲۵

۲۴۱۷۸

۱۴

ASP.Net MVC Security JSON Web Token

مطالب مشابه

مطالب اعتبارسنجی مبتنی بر JWT در ASP.NET Core 2.0 بدون استفاده از سیستم Identity

مطالب پیاده سازی JSON Web Token با ASP.NET Web API 2.x

مطالب رمزنگاری JWT و افزایش امنیت آن در ASP.NET Core

مطالب احراز هویت و اعتبارسنجی کاربران در برنامه‌های Angular - قسمت دوم - سرویس اعتبارسنجی

مطالب React 16x - قسمت 27 - احراز هویت و اعتبارسنجی کاربران - بخش 2 - استخراج و نمایش اطلاعات JWT و خروج از سیستم

مطالب امن سازی برنامه‌های ASP.NET Core توسط IdentityServer 4x - قسمت نهم- مدیریت طول عمر توکن‌ها

مطالب امن سازی برنامه‌های ASP.NET Core توسط IdentityServer 4x - قسمت سوم - بررسی مفاهیم OpenID Connect

نظرات مطالب سفارشی سازی ASP.NET Core Identity - قسمت پنجم - سیاست‌های دسترسی پویا

نظرات مطالب Blazor 5x - قسمت 31 - احراز هویت و اعتبارسنجی کاربران Blazor WASM - بخش 1 - انجام تنظیمات اولیه

نظرات مطالب غیرمعتبر کردن توکن و یا کوکی سرقت شده در برنامه‌های مبتنی بر ASP.NET Core

#

مهرداد کاهه

‫۸ سال و ۳ ماه قبل، چهارشنبه ۲۶ خرداد ۱۳۹۵، ساعت ۱۶:۰۱

خیلی ممنون از مطلب مفیدتون.
روش token base authentication روش بسیار خوبی برای جایگزین شدن با روش‌های پیشین است، به خصوص در برنامه‌های تک صفحه ای. سوالی که برای بنده مطرح شد. بنده در پروژه ای token و اطلاعات تکمیلی کاربر را در Local Storage ذخیره میکنم. حال اینکه وقتی token به کاربر داده شد، اگر اطلاعات را کپی کنم و در مرورگر دیگری این اطلاعات را وارد کنم من را تایید صلاحیت میکنه. در صورتی که این نکته میتونه خیلی خطر ساز باشه، چون token که به کاربر اعطا میشه کلید refresh token را هم به همراه خودش داره و در نهایت کاربر تا هر زمانی که بخواد میتونه لاگین شده باقی بمونه. ممنون میشم اگر راه حلی پیشنهاد بدید به بنده.

یک سوالی در مورد عملکرد برنامه تلگرام هم دیده بودم، در تلگرام هم فکر میکنم از token استفاده میشه. اما خیلی جالبه که شما میتونید sessionهای فعالتون را ببینید که از چند دستگاه لاگین شده اید. آیا اگر اطلاعات token را در دیتابیس نگه دارم میتونم مثل تلگرام این وضعیت را هم کنترل کنم؟ مثلا آیا میتونم از سمت سرور یک token که تایید صلاحیت هست را expire کنم؟
- #
  
  وحید نصیری
  
  ‫۸ سال و ۳ ماه قبل، چهارشنبه ۲۶ خرداد ۱۳۹۵، ساعت ۱۶:۲۰
  
  - این مساله در مورد کوکی هم وجود دارد (اگر کپی شود) و مهم نیست؛ چون شما صاحب اختیار اطلاعات خودتان هستید. تا زمانیکه این اطلاعات توسط «شما» جابجا می‌شود، مهم نیست. مشکل زمانی هست که این اطلاعات نشتی پیدا کنند و اشخاص دیگری به آن‌ها دسترسی پیدا کنند. به همین جهت است که مثلا عنوان می‌کنند اگر از «کامپیوترهای عمومی» استفاده می‌کنید، حتما در پایان کار log off/sign out کنید. چون log off/sign out سبب خواهد شد تا کوکی شما منقضی و حذف شود و یا عنوان می‌شود که ورودی‌های کاربران را sanitize کنید تا «باگ‌های XSS»، سبب نشتی از راه دور اطلاعات کوکی شما نشوند.
  بنابراین در اینجا باید نشتی اطلاعات محلی (در کامپیوترهای عمومی و همگانی) و نشتی اطلاعات از راه دور (باگ‌های XSS) مدنظر باشند.
  - بله. نیاز به جدولی برای ذخیره سازی اطلاعات توکن‌های صادر شده دارید و نه اینکه صرفا یک توکن صادر شود؛ بدون ردگیری و ثبت آن در بانک اطلاعاتی و کوئری گرفتن از آن به همراه مباحثی مانند تشخیص بلادرنگ اتصال و قطع اتصال آن‌ها جهت به روز کردن وضعیت توکن‌ها.
  - #
    
    ف شاهرخ
    
    ‫۸ سال و ۲ ماه قبل، دوشنبه ۲۱ تیر ۱۳۹۵، ساعت ۱۹:۳۳
    
    با سلام وتشکر
    در صورت امکان نظرتان را در مورد اشکالاتی که در http://blog.prevoty.com/does-jwt-put-your-web-app-at-risk راجع به jwt برای استفاده در web App بیان شده بفرمایید
    - #
      
      وحید نصیری
      
      ‫۸ سال و ۲ ماه قبل، دوشنبه ۲۱ تیر ۱۳۹۵، ساعت ۱۹:۴۶
      
      - این‌ها همان مطالب قسمت‌های «نگاهی به محل ذخیره سازی JWT و نکات مرتبط با آن » و «انقضاء و صدور مجدد توکن‌ها به چه صورتی است؟ » در انتهای بحث فوق هستند.
      - در مورد غیرمعتبر سازی توکن‌ها، راه‌حلی در اینجا ارائه شده‌است: «پیاده سازی JSON Web Token با ASP.NET Web API 2.x»
      - #
        
        ف شاهرخ
        
        ‫۸ سال و ۲ ماه قبل، سه‌شنبه ۲۲ تیر ۱۳۹۵، ساعت ۱۵:۱۴
        
        باتشکر از پاسخ شما
        آیا امکان استفاده از asp.net Identity به همراه jwt وجود دارد؟
        مثلا وقتی در پروژه ای که مانند پروژه Decision کلاس user به صورت( public class User : IdentityUser ) تعریف شده ایا دیگر امکان استفاده از jwt برای login هست؟
        اگر این امکان وجود ندارد استفاده از کدام پیشنهاد میشود؟
        
        #
        
        وحید نصیری
        
        ‫۸ سال و ۲ ماه قبل، سه‌شنبه ۲۲ تیر ۱۳۹۵، ساعت ۱۵:۲۹
        
        - بله. کلاس نمونه User مطلب «پیاده سازی JSON Web Token با ASP.NET Web API 2.x» را با کلاس User مربوط به پیاده سازی خاص خودتان جایگزین کنید (در قسمت «حداقل‌های بانک اطلاعاتی مورد نیاز جهت ذخیره سازی وضعیت کاربران و توکن‌های آن‌ها» مطلب یاد شده).
        - برای سفارشی سازی ASP.NET Identity از مطلب «اعمال تزریق وابستگی‌ها به مثال رسمی ASP.NET Identity» ایده بگیرید.
#

کوشککی

‫۶ سال و ۴ ماه قبل، شنبه ۱۵ اردیبهشت ۱۳۹۷، ساعت ۰۵:۱۷

- اگر از کوکی‌ها برای ذخیره سازی آن‌ها استفاده می‌کنید، از HTTPS-only cookies استفاده کنید تا از Cross-Site Scripting XSS attacks در امان باشید.

HTTPS-only cookies چه عملی انجام میده؟
- #
  
  وحید نصیری
  
  ‫۶ سال و ۴ ماه قبل، شنبه ۱۵ اردیبهشت ۱۳۹۷، ساعت ۰۵:۳۲
  
  HttpOnly cookies، کوکی هست که توسط اسکریپت‌های یک صفحه قابل خوانده شدن و دسترسی نیست. HTTPS-only cookies همان حالت قبل است منتها صرفا برای آدرس Https سایت ارسال می‌شود و نه برای درخواست‌های Http معمولی آن.
#

احمد نهازی

‫۶ سال قبل، پنجشنبه ۱ شهریور ۱۳۹۷، ساعت ۰۲:۰۲

سلام. فکر می‌کنم مفهوم jwt رو متوجه نشدم. با اینکه تمام سمپل هایی که ارائه کردین رو پیاده سازی کردم. من می‌خوام یه erp طراحی کنم. که پروژه لاگین و رجیسترش جدا باشه. یعنی هر پروژه ای در این ERP برای لاگین به پروژه لاگین رجیستر ما وصل بشه. همچنین قصد ندارم از angular یا ajax استفاده کنم. برای رفت و آمد بین اکشن‌ها و کنترلر‌ها هم طبق فرمایش شما از httpclient استفاده کردم. ولی باز هم نشد. حالا سوال اینه که برای طراحی این پروژه لاگین رجیستر باید از jwt استفاده بشه؟ و اینکه اگر قرار باشه از jwt استفاده بشه، ساده‌ترین شکل پیاده سازیش چطور خواهد بود؟ سمپل خاصی برای این مسئله دارین؟
- #
  
  وحید نصیری
  
  ‫۶ سال قبل، پنجشنبه ۱ شهریور ۱۳۹۷، ساعت ۰۲:۲۸
  
  برای پیاده سازی مفهوم single sign-on پروژه‌ای اختصاصی و بسیار حرفه‌ای به نام «IdentityServer» وجود دارد.
#

هادی خزایی

‫۴ سال و ۱۰ ماه قبل، جمعه ۱۰ آبان ۱۳۹۸، ساعت ۰۹:۰۳

با سلام؛ آیا الگوریتم HMACSHA256 فقط secret key ما رو تبدیل میکند؟ و قسمت payload و header توسط استاندارد base64 انکد میشوند و یا اگر هر سه قسمت (بعد از انکد شدن) توسط الگوریتم HMACSHA256 تبدیل میشوند، آیا باز هم قابل بازگشت هست؟ یعنی الگوریتم HMACSHA256 از حالت رمزنگاری می‌تواند به حالت قبل برگردد؟ چون هم از الگوریتم HMACSHA256 و هم base64 استفاده شده این دو مورد در کنار ذهنم رو مشغول کرد.
- #
  
  وحید نصیری
  
  ‫۴ سال و ۱۰ ماه قبل، جمعه ۱۰ آبان ۱۳۹۸، ساعت ۱۰:۴۶
  - HMAC_SHA_256 فقط برای بررسی امضای دیجیتال توکن صادر شده مورد استفاده قرار می‌گیرد (و یک نوع الگوریتم هش کردن یک طرفه است).
  
  Signature = HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)
  
  - JSON Web Encryption استاندارد نیز وجود دارد.
#

میثم سلی

‫۱ سال و ۹ ماه قبل، شنبه ۲۸ آبان ۱۴۰۱، ساعت ۱۷:۲۸

با سلام؛ آیا در برنامه‌های Asp.Net WebForm امکان استفاده از روش token based وجود داره؟
- #
  
  وحید نصیری
  
  ‫۱ سال و ۹ ماه قبل، شنبه ۲۸ آبان ۱۴۰۱، ساعت ۱۸:۰۳
  
  با توجه به اینکه می‌توان از Web API در پروژه‌های Web Forms استفاده کرد، بله: «پیاده سازی JSON Web Token با ASP.NET Web API 2.x»

معرفی JSON Web Token

مطالب مشابه

#

#

#

#

#

#

#

#

#

#

#

#

#

#