Category Archives: json web token (jwt)

json web token (jwt)

jwt จะโดน hack ได้อย่างไรบ้าง

jwt จะโดน hack ได้อย่างไรบ้าง 1. SDK library โดน hack ไปแก้โค้ด ส่งไปหา hacker ขโมย jwt จำนวนมาก 2. Private key โดน hack ไปสร้าง token ปลอมขึ้นมาเอง แต่เขาจะต้องรู้ subject (key) เพื่อเอามาเรียก api ที่ access resource จาก server ถ้าเขารู้ 3. Third-party ไม่ยอมใช้ SDK library และไม่ยอม … Continue reading

Posted in json web token (jwt), ไม่มีหมวดหมู่ | Leave a comment

jwt nbf (not before claim) ใช้ทำอะไร?

Say, you’re selling some API or resource. And a client purchased access that lasts for one hour and the access starts tomorrow in the midday. สมมติเราจะตั้งเวลาให้ลูกค้าหรือพาร์ทเนอร์เข้าถึง API ของเราได้ในวันพรุ่งนี้ตอนเที่ยง เราสามารถให้ jwt token ลูกค้าไปก่อน โดย set claim nbf นั่นหมายความว่า jwt token จะไม่ … Continue reading

Posted in json web token (jwt), ไม่มีหมวดหมู่ | Leave a comment

java jwk verify id token signature

อันนี้ขอไม่อธิบายอะไรเลย ขี้เกียจ ใครเข้ามาพบ แล้วมีคำถามก็ พิมถามไว้แล้วกัน import com.nimbusds.jose.JOSEException; import com.nimbusds.jose.JWSVerifier; import com.nimbusds.jose.crypto.RSASSAVerifier; import com.nimbusds.jose.jwk.JWKSet; import com.nimbusds.jose.jwk.RSAKey; import com.nimbusds.jwt.SignedJWT; import java.io.File; import java.io.IOException; import java.net.MalformedURLException; import java.net.URISyntaxException; import java.security.interfaces.RSAPublicKey; import java.text.ParseException; /**  * Created by Panupong_Kon on 11/7/2016.  */ public class Main … Continue reading

Posted in java, json web token (jwt) | Leave a comment

json web token คืออะไร

JSON Web Token (JWT) มาตรฐาน (RFC 7519) ใช้ทำ API รับส่งข้อมูลที่ secure ระหว่าง Third parties ด้วย JSON object. ข้อมูลจะถูก verified เข้ารหัสด้วยลายมือชื่อดิจิตอล(digitally signed). โดยทำได้ 2 วิธี 1.HMAC algorithm 2. public/private key pair using RSA. โดยในตัวอย่างนี้จะใช้วิธีที่ 2. 1. openssl openssl genrsa -out key.rsa openssl … Continue reading

Posted in json web token (jwt), ไม่มีหมวดหมู่ | Leave a comment