JSON Web Token (JWT)– eine besondere Form von Authentifizierungstoken
Da heutzutage sehr viele Benutzer über Mobiltelefon (Apps) und Webanwendungen auf Systeme zugreifen, benötigen Entwickler eine sichere Authentifizierungsmethode, die für diese Plattformen geeignet ist.
Viele Entwickler verwenden JSON Web Tokens (JWTs), wenn sie Token für ihre Anwendungen konzipieren.
Ein JSON Web Token (JWT) ist einoffener Standard. Das fertige Produkt ermöglicht die sichere Kommunikation zwischen zwei Teilnehmern. Die Daten werden mit einer digitalen Signatur überprüft und bei Übermittlung via HTTP verschlüsselt.
JWTs bestehen aus drei Hauptkomponenten.
- Header:Definiert den Tokentyp und den involvierten Signaturalgorithmus.
- Payload:Definiert den Aussteller des Tokens, die Gültigkeit des Tokens usw.
- Signatur:Anhand einer sicheren Signatur wird sichergestellt, dass die Nachricht während der Übertragung nicht modifiziert wird.
Durch Codierung werden diese drei Elemente miteinander verknüpft. Das fertige Produkt sieht in etwa so aus.
Lassen Sie sich nicht vomJSON-Codeabschrecken. Diese Art von Darstellung wird häufig bei der Übertragung von Daten zwischen Entitäten verwendet und es gibt jede Menge Lernprogramme. Wenn Sie sich für JSON-Token interessieren, aber noch keine Erfahrung mit dieser Sprache haben, kann sich eineRessourcewie diese anbieten.
Vor- und Nachteile von JWTs
Die Verwendung von JWTs bietet viele Vorteile.
- Größe:Die Token in dieser Programmiersprache sind winzig und können schnell zwischen den Entitäten ausgetauscht werden.
- Einfachheit:Die Token können nahezu überall generiert werden und müssen nicht auf Ihrem Server verifiziert werden.
- Kontrolle:Sie legen fest, worauf der Benutzer Zugriff hat, wie lange diese Berechtigung gilt und welche Aktivitäten der Benutzer durchführen kann, solange er angemeldet ist.
Es gibt aber auch potenzielle Nachteile.
- Einziger Schlüssel:JWTs basieren auf einem einzigen Schlüssel. Wird dieser kompromittiert, ist das gesamte System gefährdet.
- Komplexität:Die Token sind anspruchsvoll. Der Entwickler benötigt solide Kenntnisse im Bereich der kryptografischen Signaturalgorithmen, um auszuschließen, dass das System versehentlich Risiken ausgesetzt wird.
- Einschränkungen:Meldungen können nicht an alle Clients via Push übertragen werden und die Clients lassen sich nicht serverseitig verwalten.
Gründe für die Verwendung von Authentifizierungstoken
Sie haben Ihre aktuelle Strategie überprüft und sind zu dem Schluss gekommen, dass sie ihren Zweck erfüllt. Wozu sollten Sie sich dann für Authentifizierungstoken entscheiden? Entwickler, die den Sprung wagen, profitieren von erheblichen Vorteilen.
Authentifizierungstoken bieten sich insbesondere für Administratoren von Systemen an, auf die Folgendes zutrifft:
- Häufiger temporärer Zugriff.Ihre Benutzerbasis wechselt je nach Datum, Uhrzeit oder Ereignis. Das wiederholte Gewähren und Widerrufen von Zugriff ist extrem aufwendig. Hier bieten sich Token an.
Administratoren von Universitätsbibliotheken beispielsweise kommt der tokenbasierte Ansatz sicherlich entgegen.
- Granularer Zugriff erforderlich.Ihr Server gewährt Zugriff basierend auf bestimmten Dokumenteigenschaften und nicht basierend auf Benutzereigenschaften. Passwörter sind ungeeignet für eine solche Differenzierung.
Angenommen, Sie veröffentlichen ein Onlinejournal. Sie möchten, dass alle nur ein Dokument lesen und kommentieren. Dies erreichen Sie mithilfe von Token.
- Häufiges Hackerziel.Ihr Server enthält sensible Dokumente, deren Veröffentlichung Ihrem Unternehmen großen Schaden zufügen könnte. Ein einfaches Passwort bietet nicht genügend Schutz. Zusätzliche Hardware würde den Schutz jedoch spürbar verbessern.
Es gibt noch viele weitere Anwendungsbereiche für Authentifizierungstoken. Diese kurze Übersicht inspiriert Sie vielleicht zu einigen Überlegungen und sicherlich werden Sie noch weitere Vorteile für sich entdecken.
Best Practices für Security-Tokens
Authentifizierungstoken sind zur Verbesserung Ihrer Sicherheitsprotokolle und zum Schutz Ihrer Server vorgesehen. Sie sind jedoch nur dann effektiv, wenn Sie Ihre Prozesse von Anfang an auf Sicherheit auslegen.
Ihre Authentifizierungstoken sollten folgende Merkmale aufweisen:
- Vertraulich.Benutzer sollten Geräte für die tokenbasierte Authentifizierung nicht mit anderen teilen oder zwischen Abteilungen austauschen. Genau wie Passwörter sollte auch kein anderes Element des Sicherheitssystems Dritten zugänglich gemacht werden.
- Sicher.Die Kommunikation zwischen Token und Server muss über sichere HTTPS-Verbindungen erfolgen. Verschlüsselung ist ein wichtiger Bestandteil sicherer Token.
- Getestet.Führen Sie regelmäßige Tokentests aus, um sicherzustellen, dass Ihr System sicher ist und ordnungsgemäß funktioniert. Wenn Sie ein Problem ausfindig machen, beheben Sie es unverzüglich.
- Geeignet.Wählen Sie den richtigen Tokentyp für Ihren individuellen Anwendungsbereich. So sind JWTs beispielsweise nicht als Sitzungstoken geeignet. Sie können sich als kostspielig erweisen, und Sicherheitsrisiken in Verbindung mit dem Abfangen von Token lassen sich nicht ausschließen. Stellen Sie sicher, dass Sie stets das richtige Tool für die zu bewältigende Aufgabe wählen.
Treffen Sie die Entscheidung für einen bestimmten Authentifizierungstoken nicht leichtfertig. Informieren Sie sich, fragen Sie Kollegen und treffen Sie die für Ihr Unternehmen beste Wahl.
Wir helfen Ihnen weiter
Gerade heute kommt es darauf an, den Zugriff auf Büro- und Home Office-Arbeitsplätze abzusichern. Durch Mechanismen wie die tokenbasierte Authentifizierung wird sichergestellt, dass nur berechtigte Personen Zugriff auf digitale Ressourcen haben.
Erfahren Sie mehr darüber, wie Okta Ihre Systeme sicherer macht.
Referenzen
The World's First Computer Password? It Was Useless Too,Wired, Januar2012.
Microsoft Says This Magic Ring Could Make Passwords Obsolete, Small Business Trends, Juni2020.
JSON Web Token, Internet Engineering Task Force, Mai2015.
Working With JSON, Mozilla.
Security Token, Citi.
Security Token Definition, Investopedia, Juni2020.
Two-Factor Authentication, Explain That Stuff, Februar2020.
When Are Tokens Securities? Some Questions from the Perplexed, Harvard Law School Forum on Corporate Governance, Dezember2018.