Category Archives: json web token (jwt)

json web token (jwt)

jwt จะโดน hack ได้อย่างไรบ้าง

jwt จะโดน hack ได้อย่างไรบ้าง 1. SDK library โดน hack ไปแก้โค้ด ส่งไปหา hacker ขโมย jwt จำนวนมาก 2. Private key โดน hack ไปสร้าง token ปลอมขึ้นมาเอง แต่เขาจะต้องรู้ subject (key) เพื่อเอามาเรียก api ที่ access resource จาก server ถ้าเขารู้ 3. Third-party ไม่ยอมใช้ SDK library และไม่ยอม … Continue reading

Posted in json web token (jwt), ไม่มีหมวดหมู่ | Leave a comment

jwt nbf (not before claim) ใช้ทำอะไร?

Say, you’re selling some API or resource. And a client purchased access that lasts for one hour and the access starts tomorrow in the midday. สมมติเราจะตั้งเวลาให้ลูกค้าหรือพาร์ทเนอร์เข้าถึง API ของเราได้ในวันพรุ่งนี้ตอนเที่ยง เราสามารถให้ jwt token ลูกค้าไปก่อน โดย set claim nbf นั่นหมายความว่า jwt token จะไม่ … Continue reading

Posted in json web token (jwt), ไม่มีหมวดหมู่ | Leave a comment

java jwk verify id token signature

ตัวอย่าง jwk url เวอร์ชั่นล่าสุดของ google https://www.googleapis.com/oauth2/v3/certs วิธี verify id_token ด้วย jwk ที่โหลด json มาเป็นไฟล์แล้ว และ kid หรือใครที่ต้องการใช้จาก jwk url เลยก็ทำได้ ต้องหาโค้ดเรียก url ด้านนอกเอง import com.nimbusds.jose.JOSEException; import com.nimbusds.jose.JWSVerifier; import com.nimbusds.jose.crypto.RSASSAVerifier; import com.nimbusds.jose.jwk.JWKSet; import com.nimbusds.jose.jwk.RSAKey; import com.nimbusds.jwt.SignedJWT; import java.io.File; import java.io.IOException; import … Continue reading

Posted in java, json web token (jwt) | Leave a comment

json web token (jwt) คืออะไร

JSON Web Token (JWT) มาตรฐาน (RFC 7519) ใช้ระบุตัวตนโดยใช้กับ API รับส่งข้อมูลที่ secure ระหว่าง Third parties ด้วย JSON object. ข้อมูลเก็บแบ่งออกเป็น 3 ส่วนคือ HEADER, PAYLOAD และ SIGNATURE HEADER เก็บข้อมูล algorithm ที่ใช้ในการเข้ารหัส PAYLOAD ข้อมูลที่เป็นสาธารณะ (ไม่เป็นความลับหรืออันตราย เช่นพวก บัตรประชาชน) SIGNATURE ข้อมูลในส่วนนี้สำคัญที่สุด จะเข้ารหัสด้วยลายมือชื่อดิจิตอล(digitally signed) พวกบอกว่าบุคคลนี้เข้าสู่ระบบจากผู้ให้บริการนี้ โดยลายมือชื่อดิจิตอลนี้ใช้กระบวนการเข้ารหัสได้ 2 … Continue reading

Posted in json web token (jwt) | Leave a comment