承認トークン

サイバー犯罪は今や世界的な問題となっています。たとえば、サイバーセキュリティの分野でBI.ZONEのディレクターを務めるDmitry Samartsevは、世界経済フォーラムで次の数字を引用しました。 2018年、サイバー犯罪による世界経済への損害は1.5兆ドルに達したと彼は述べた。 2022年には、損失はすでに8兆と予測されており、2030年には、サイバー犯罪による被害は90兆を超える可能性があります。サイバー犯罪による損失を減らすためには、ユーザーの安全を確保する方法を改善する必要があります。現在、堅牢なセキュリティ戦略の実装に役立つ多くの認証および承認方法が利用可能です。その中で、多くの専門家はトークンベースの認証が最良であると認識しています。

承認トークンが登場する前は、パスワードとサーバーのシステムが広く使用されていました。現在、このシステムは、その単純さと可用性のために、依然として適切です。使用される従来の方法により、ユーザーはいつでもデータにアクセスできます。これは必ずしも効果的ではありません。 

このシステムを検討してください。原則として、それらのアプリケーションのイデオロギーは次の原則に基づいています。

1. アカウントが生成されます。人々は、ログインとパスワードになる文字、数字、または既知の記号の組み合わせを思い付きます。

   
   
   
   
   

2. サーバーにログインできるようにするには、ユーザーはこの一意の組み合わせを保存し、常にそれにアクセスできる必要があります。

   
   
   
   
   

3. サーバーに再接続して自分のアカウントでログインする必要がある場合、ユーザーはパスワードを再入力してログインする必要があります。

   
   
   
   
   

パスワードを盗むことは決してユニークではありません。この種の最初の文書化されたケースの1つは、1962年に発生しました。さまざまな文字の組み合わせを覚えるのは簡単ではないため、多くの場合、すべてのパスワードを紙に書き留めたり、同じバージョンを複数の場所で使用したり、文字を追加したり、古いパスワードの大文字と小文字を変更して新しい場所で使用したりするだけです。 --2つのパスワードが非常に似ている理由。同じ理由でのログインは、多くの場合、同じ、同一になります。 

データ盗難の危険性と情報の保存の複雑さに加えて、パスワードにはサーバー認証も必要であり、これによりメモリの負荷が増加します。ユーザーがログオンするたびに、コンピューターはトランザクションレコードを作成します。 

– , . . , . , , . . - , , . , , . 

. :

1. , . : , . , - USB- - , .

   
   
   
   
   

2. , , , . "magic ring" Microsoft.

   
   
   
   
   

3. , .

   
   
   
   
   

- , . , . , .

. . . , . : , , USB - . . , . , . , , .

. , , . .

?

- -, . , . , 3 :

1. ( )

   
   
   
   
   

2. ( , , FaceID)

   
   
   
   
   

3. 
   
   
   
   

, ( ), . ( (2FA)). , , . . .

?

, 60 . - , . , , .

, . , . , . , . , .

, , -. , , , . , 30 60 , . - , SMS.

, . , .

?

. - “ ”, , , .

, , 2FA, , . , - , .

, , , . , , . , , , . , .

, , . , , :

1. -. -, , - JSON (JWT). JWT (RFC 7519) . .

   
   
   
   
   

2. .

   
   
   
   
   

3. HTTPS-. HTTPS- , , . HTTPS-, HTTP , .

   
   
   
   
   

JSON -?

JSON Web Token (JWT) - (RFC 7519), JSON. . JWT ( HMAC) , , RSA ECDSA.

- JSON , : , , . JWT : «xxxx.yyyy.zzzz».

: , JWT, , HMAC SHA256 RSA.

- , . , . 

- , , . , iss - , , exp  - Unix Time, , , . 

, JWT. - IANA JSON URI, . - , , . Base64Url.

, .

, , , , , JWT , .

Base64-URL, , HTML HTTP, XML, SAML.

:

eyJhbGciOiJIUzUxMiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NSIsIm5hbWUiOiJKb2huIEdvbGQiLCJhZG1pbiI6dHJ1ZX0K.LIHjWCBORSWMEibq-tnT8ue_deUqZx1K0XxCOXZRrBI
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

JWT  - ; - , ; - , ,   . 

- JWT , - , ; - JWT , - , , , ; - , .

?

, ( ), - . .

, , .. , . .

, .. , . . 

. , . . 

. , .