Wie kann ich Dekodieren von in AngularJS ein JWT mit einem öffentlichen Schlüssel?

Baue ich ein AngularJS-Website mit Authentifizierung mit Sitz in JWT. Wenn ich das log erfolgreich in der Anwendung, backend gibt mir ein JWT und gespeichert in "localStorage".

Möchte ich erhalten die Rollen des Benutzers in der JWT Ansprüche, aber ich habe gelesen das token von localstorage und daher diese einfach modifizierbaren (z.B.: chrome dev-tools) und der böswillige Benutzer können setzen fake Rollen in der JWT.

Wie ich überprüfen kann das token in der client Seite unter Verwendung eines öffentlichen Schlüssels?. Ich davon ausgehen das NodeJS-server generiert das token, mit Ihren jeweiligen privaten Schlüssel mit jwt-einfache

Vielen Dank im Voraus!

  • Die Frage, "wie zu entschlüsseln, die in AngularJS" ist ziemlich sinnlos. AngularJS ist ein MVVM-framework, und es kümmert sich nicht um Verschlüsselung oder überprüfung, oder beliebige andere Datenstrukturen. Sie können auch nicht schweigen, wenn diese ein ZJ oder JWE token - erstere müssen erst-Validierung; die letztere Entschlüsselung. Letztlich, die die Geltendmachung der Ansprüche ist bis zu dem server, wobei die real role-based access control passiert
InformationsquelleAutor tristobal | 2015-04-23
  1. 2

    und der böswillige Benutzer können setzen fake Rollen in der JWT

    Warum ist das ein Problem? Böswillige Benutzer können nicht zu einem gültigen token w/o die Kenntnis eines privaten Schlüssels und der server überprüft, ob Sie der JWT bei der nächsten Anfrage trotzdem.

    Wenn Sie möchten, um zu überprüfen, JWT, um richtig zu zeigen, sagen, die GUI, die Sie verwenden können-JS-Bibliothek für z.B. http://kjur.github.io/jsjws/.

    • Ok, stellt Euch mal vor, Ihr client-side app hat man eine fake-token, trusted es und versucht, einige high-privilege-Aktion. Eine app, die sendet eine Anfrage an den server mit fake-token und es wird scheitern. Also das einzige, was "hacker" zu erreichen ist app look, wie es in der Lage ist zu tun eine Menge Dinge, während in der Tat es nicht.
    • Wieder hast du Recht. In der Tat, der server keine Antwort, da das token nicht gültig ist. Ich will nur überprüfen Sie das token in den client zu vermeiden, die "hacker" erreichen sensiblen Bereichen der app.
    • Das ist in Ordnung, und Sie können die Bibliothek verwenden, erwähnt in der Antwort, es hat einfache API und unterstützt viele algorithmen. Beachten Sie jedoch, dass diese Prüfung werden nicht aufhören, die Schurken user sehen sensiblen UI-Bereiche der Anwendung (es ist nur eine Frage der Bearbeitung von live-source-code in der browser-Konsole) - es sei denn, Sie sind bereit zu sicheren statischen Inhalt mit Token, sowie - in dem Fall die clientseitige Prüfung nicht egal wie gut.
    • Mit "jsjws" war ich aktivieren, um zu überprüfen, die signierten token in der client-Seite. Danke Kumpel!
    • Sie sind herzlich willkommen. Bitte berücksichtigen Sie akzeptieren die Antwort, wenn Sie denken, es ist gut genug.
    • Ich würde es machen, aber ich habe einen schlechten Ruf, da dies ist meine erste Frage hier. Tut mir Leid =(
    • 🙂 Ich bin mir ziemlich sicher, dass Sie können, klicken Sie die checkbox markieren, rechts unten die Pfeile nach oben und unten auf der linken Seite der Antwort. Es sollte keine Einschränkungen auf, die.
    • Fertig! Vielen Dank nochmal =)

    InformationsquelleAutor yozh
Schreibe einen Kommentar