AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Netzwerke OAUTH2 Server selber machen oder in Cloud mieten?
Thema durchsuchen
Ansicht
Themen-Optionen

OAUTH2 Server selber machen oder in Cloud mieten?

Ein Thema von psycodad · begonnen am 6. Sep 2021 · letzter Beitrag vom 10. Sep 2021
 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
psycodad

Registriert seit: 8. Feb 2005
Ort: Embrach (CH)
40 Beiträge
 
Delphi 10.3 Rio
 
#13

AW: OAUTH2 Server selber machen oder in Cloud mieten?

  Alt 8. Sep 2021, 15:28
Ich habe das hier gefunden: https://github.com/paolo-rossi/delphi-jose-jwt . hat da jemand Erfahrung damit?
So wie ich das überflogen habe sollte es reichen, um anhand von Credentials ein bearer jwt zu generieren und validieren.
Wie erwähnt, ich glaube um eine B2B rest-api zu sichern müsste das ausreichen?
Ich mache schon länger kein Delphi mehr, zu dem Lib kann ich Dir daher nicht viel sagen.

Allerdings frage ich mich dann, warum dann überhaupt die Indirektion über das JWT?

Wenn der Kunde eh Credentials bekommt, kann er diese doch dann im Prinzip gleich als Basic-Auth ( also Base64Encode(username:password) ) mitschicken, oder Du generierst anstelle von Username + Password für jeden Kunden direkt einen Api-Key, den er auch als ApiKey-Header mitschickt. Kurzer Lookup in der DB ob der API-Key drin steht (und ggf. basierend darauf die Rechte dieses Users ermitteln), und wuppdi, ist der Aufruf authorisiert.

Ob Du jetzt einen User im Token-Server deaktivierst damit er keine Tokens mehr bekommt oder den API-Key direkt invalidierst schenkt sich da meiner Meinung nach nicht wirklich viel. Und Du musst Dich nicht mit JWT's generieren, signieren und validieren herumschlagen.
Hmm.. Ja, das hat was. Ich sehe jetzt auch nicht warum der Kunde sich zuerst mit seinen Credentials ein JWT holen soll, bevor er loslegen kann. Ist der Grund ev. in sicherheitsrelevanten Gründen zu suchen? Kann so besser eine man-in-the-middle Attacke vermieden werden?
Wenn nicht, dann reicht basic-auth oder Api-Key.
  Mit Zitat antworten Zitat
 

« Vorheriges Thema | Nächstes Thema »
 

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus
Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 17:03 Uhr.
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz