Jump to content

Search the Community

Showing results for tags 'jwt'.



More search options

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Forums

  • Q&A Desenvolvimento
    • Perguntas e respostas rápidas
  • Web Development
    • HTML e CSS
    • Javascript
    • PHP
    • Ruby
    • Python
    • Java
    • .NET
    • Docker, Kubernets and other environments
    • WordPress
    • Mobile
    • Agile
    • Desenvolvimento de Games
    • Banco de Dados
    • Design and UX
    • Algoritmos & Outras Tecnologias
  • Entretenimento e uso pessoal
    • Segurança & Malwares
    • Geral
    • iMasters's pub

Find results in...

Find results that contain...


Date Created

  • Start

    End


Last Updated

  • Start

    End


Filter by number of...

Joined

  • Start

    End


Group


Google+


Hangouts


Skype


Twitter


deviantART


Github


Flickr


LinkedIn


Pinterest


Facebook


Site Pessoal


Localização


Interesses

Found 2 results

  1. Pessoal, sobre o JWT Json Web Token, tenho algumas dúvidas. Atualmente faço uso de $_SESSION no PHP para autenticar e validar usuários e seus acessos à API e, logins no site/admin, dentre outras coisas. Mas, estudando aqui sobre API's, percebi a grande utilização do JWT em conjunto com a autenticação. 1 => No form de login o usuário de identifica 2 => Se as credenciais existirem o usuário ganha o retorno OK e cria uma $_SESSION com as credenciais. Mas isso é quando Ambiente Admin e API estão no mesmo domínio. Quando estão em domínios diferentes está sendo usado o JWT. Mas, aí vem a dúvida: É confiável para níveis de acesso e autenticação? Andei pensando em umas coisas: A) Enviar no Token o nível de acesso do usuário. Se é administrador, API, etc... Mas isso pode ser mudado pelo man-in-the-middle. B) Então pensei em enviar via SECRET. Também não dá pois o segredo deve ser 1 para todo e qualquer acesso ficando impossível a verificação do TOKEN pela API C) Pensei enviar via cabeçalho (header). Mas no caso, é a API quem gera o Token. Logo, não dá! Será que não existe saída? Terei mesmo que usar $_SESSION para nível de acesso e JWT para validação da requisição? Será que estou tendo uma visão errada do cenário? Alguém pode me ajudar a enxergar isso? Meu sistema de diretórios é: site/admin //administrador da API site/api // A própria API
×

Important Information

Ao usar o fórum, você concorda com nossos Terms of Use.