Wie sichere JWT-Token Zugangsdaten ab?

Ich arbeite derzeit an einer REST-API für ein eigenes Projekt. Zur Absicherung der API möchte ich zum ersten Mal ein JWT-Token verwenden. Wenn ich das Prinzip richtig verstehe, muss ich bei der ersten Anfrage (/authorize) den Benutzernamen und das Passwort senden und erhalte dann das Token, mit dem ich weiterarbeiten kann. Aber wie kann ich die Benutzerdaten sicher übermitteln? Ich verwende AJAX auf der Client-Seite, um die Anfrage zu senden. Es wäre nachteilig, die Zugangsdaten in der klaren .js-Datei zu speichern.

1 Antwort

regex9

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, Technik, programmieren

05.03.2022, 01:37

Die tatsächliche Kommunikation mit der API kann serverseitig erfolgen. Das heißt, du schickst deine AJAX-Anfrage erst einmal an den eigenen Server (irgendeinen Handler / irgendein Skript). Dieser führt den Request an die API aus, bei dem auch die Credentials übermittelt werden. Das empfangene Ergebnis (der Token) kann wiederum in der Session gespeichert werden oder du gibst ihn in den Response Body, sodass du ihn in deinem JavaScript-Code auslesen kannst.

Im letzteren Fall müsstest du allerdings einige Sicherheitsmaßnahmen ergreifen, um den Token sicher zu verwahren. Der Session Storage oder ein Cookie wären naheliegend, allerdings bräuchte es noch einen Schutz vor XSS-Attacken.

Du könntest hierfür (serverseitig) einen gehashten Zufallsstring in den Token einbauen. Der ungehashte Wert dieses Strings wird in einem gesicherten Cookie gespeichert (d.h. Flags wie httpOnly, secure und SameSite=Strict sind gesetzt).

Für einen API-Request bedarf es dann einer Prüfung, ob der Zufallsstring als Hash im Token vorliegt. Wenn nicht, muss ein neuer Token angefordert werden.

Ein zusätzlicher Schutz wäre das Eingrenzen der CSP.

Ähnliche Fragen

Wie wird ein JSON Web Token überprüft?

Wenn wir einen JWT erstellen und an den Client senden, er den Token bei der nächsten Anfrage zurücksendet, wird ja überprüft, ob der Token valide ist.

So zum Beispiel:

jwt.verify(req.cookies.cart, process.env.AUTH0_CART_SECRET, cartVerifyJwtOptions).items

Wie läuft die Validierung ab?

...zur Frage

PHP Sichere Api erstellen?

Hi, kann mir jemand ein paar Tutorials oder Artikel empfehlen, oder kennt eine Anleitung wie man eine sichere API für PHP macht?

Was ich machen möchte:

Ich möchte mir eine kleine Oberfläche für unsere Online Shops erzeugen in der jeden Tag Lagerbestände und Anzahl der Verkauften Artikel abgespeichert werden(das ist soweit auch umgesetzt). Aktuell gebe ich die Werte aber noch per PHP Skript aus. Das ganze möchte ich jetzt aber dynamischer gestalten und mithilfe von Javascript ausgeben lassen, admit ich per PHP nur noch das Grundgerüst der Seite aufbaue und per Javascript dann die Tabellen ausgebe und Filter setzen sowie suchen kann.

An der Uni habe ich sowas vor ein paar Jahren schonmal mit XHR gemacht, dabei haben wir aber das Thema sicherheit nicht behandelt, welche Wege gibt es denn soetwas "sicher" umzusetzen, damit nicht einfach ein Bot der auf die Seite kommt dort per CRUD irgendwelche Werte eingeben könnte oder abfragen könnte?

Macht es da sinn ein Token zu erzeugen und das dann in den Javascript Dateien zu speichern oder die Zugangsdaten des Benutzers bei jedem Aufruf mitzusenden? Ich möchte das ganze vielleicht auch so gestalten das man daraus vielelicht auch mal eine App erstellen könnte, falls der bedarf in Zukunft aufkommt.

...zur Frage

Internet - GET,POST und Put?

Hallo zusammen,

kann mir jemand kurz erklären wie genau die Kommunikation funktioniert. Und warum ich diese nicht einfach selber ausführen kann.

Ich betrete die Website, wäre das dann ein GET ?

Dann werden die Header die zurück kommen als Cookies gesetzt?

Wo kommen die Cookies her, und wie sende ich per POST das zurück was der Server will. Angenommen ich sende eine Anfrage über ein Submit Formular. Aber dort wird ein Token mitgesendet, ohne dieses bekomme ich ein Bad Request. Woher nimmt er dieses Token?

Allgemein wären ein paar Information gut, damit ich das besser verstehen kann. Wenn ich so etwas mit Webclients in NET nachbasteln möchte.

...zur Frage

Rest API - PHP?

Hey, ich habe eine locale MySQL Datenbank, nun möchte ich diese an meine App anbinden. Dazu ist es sinnvoll eine Rest API zu entwickeln. Ich habe es mit folgender Anleitung versucht:

https://code.tutsplus.com/tutorials/how-to-build-a-simple-rest-api-in-php--cms-37000

Jedoch funktioniert es nicht. Also ich kann die API im Browser und mit Postman abrufen. Aber in meiner App kann ich trotz richtiger Anbindung keine Daten ausgeben.

Hat jemand eine Idee woran es liegen kann?

Danke schonmal für die Hilfe!

...zur Frage

Python Text Analyse?

Im Endeffekt soll der Code etwas in dieser Art machen, hat jemand einen umsetzungsvorschlag? Bei der 2ten Spalte soll der Durchschnitt genommen werden.

...zur Frage

Rest-Api in Xamarin?

Hallo leute,

ich habe ein paar Fragen und kann nirgendwo eine vernünftige Antwort finden.

was ist Rest-Api?

wie kann ich es mit meiner Xamarin-App verknüpfen?

brauche ich dafür ein Server?

Wie kann ich es mit meinem DataBase verknüpfen ?

Ich verstehe das ganze nicht und habe sogar bei Udemy gesucht und habe da keine Kurse gefunden, in den sowas erklärt wird.

Wenn ihr das wisst oder wenn ihr eine gute Quelle (Webseite, Online Kurs) kennt dann bitte helft mir !

...zur Frage

WEBSTORM erkennt .send Funktion nicht?

Bei folgendem Code sind die Methoden .send und .awaitReaction unterstrichen.

"Unresolved function or method send()"

Ich habe discord.js und so schon installiert. Muss man da sonst noch etwas importieren, damit .send usw. funktionieren?

const { Client, MessageEmbed, Intents } = require('discord.js');
const client = new Client({ intents: [Intents.FLAGS.GUILDS, Intents.FLAGS.GUILD_MESSAGES] });

const TOKEN = 'Mein Token';
const channelId = 'ChannelID'; // Die ID des Textkanals, in dem die Nachrichten erstellt werden sollen

const userGroup = []; // Die Liste der Benutzer, die aufgelistet werden sollen
const options = ['Option 1', 'Option 2', 'Option 3', 'Option 4', 'Option 5']; // Die Auswahlmöglichkeiten

let currentIndex = 0; // Aktueller Index der Benutzergruppe

client.on('ready', () => {
    console.log(`Eingeloggt als ${client.user.tag}`);
});

client.on('messageCreate', async (message) => {
    console.log("P - Start des Event-Handlers");
    if (message.author.bot) return;

    if (message.content.startsWith('!start')) {
        console.log("P - !start erkannt");
        if (currentIndex < userGroup.length) {
            const user = await client.users.fetch(userGroup[currentIndex]);

            // Erstelle eine Nachricht mit den Auswahlmöglichkeiten
            const embed = new MessageEmbed() // Hier MessageEmbed verwenden
                .setTitle('Wähle eine Option:')
                .setDescription(options.join('\n'));
            const sentMessage = message.guild.channels.cache.get(channelId);
            await sentMessage.send(embed);
            console.log("P - Nachricht gesendet");
            // Füge Reaktionen hinzu
            for (let i = 0; i < options.length; i++) {
                await sentMessage.react(String(i + 1) + '\u20E3'); // Emoji-Reaktionen (1️⃣, 2️⃣, usw.)
            }

            // Warte auf eine Reaktion des aktuellen Benutzers
            const filter = (reaction, user) => user.id === userGroup[currentIndex];
            const collected = await sentMessage.awaitReactions(filter, { max: 1, time: 60000 }); // 60 Sekunden Zeit zum Reagieren

            if (collected.size === 0) {
                message.guild.channels.cache.get(channelId).send(`${user.tag} hat keine Option ausgewählt.`);
            } else {
                const chosenOption = options[parseInt(collected.first().emoji.name) - 1];

                message.guild.channels.cache.get(channelId).send(`${user.tag} hat "${chosenOption}" ausgewählt.`);
                // Hier kannst du die gewünschte Aktion ausführen, basierend auf der ausgewählten Option
            }

            // Lösche die ursprüngliche Nachricht und die Auswahl-Nachricht
            await message.delete();
            sentMessage.delete();

            currentIndex++; // Zum nächsten Benutzer in der Gruppe wechseln
        } else {
            message.channel.send('Alle Benutzer aus der Gruppe wurden aufgelistet.');
        }
    }
});
console.log('Bot starting');

client.login(TOKEN);

...zur Frage

Ich habe ein Login gebaut. Jenen sollen wir nun ausschließlich mit AJAX verbessern. (Wir dürfen dabei nicht sowas wie JQUERY verwenden. Das wissen fehlt uns aber dafür an meisten. Vielleicht kann jemand mir dabei helfen mein Login umzubauen und zu verstehen was ich mache.

Mein Login-Quelltext:

<?php
$pdo = new PDO('mysql:host=localhost;dbname=phptest', 'root', '');

if(isset($_GET['login'])) {
  $email = $_POST['Email'];
  $passwort = $_POST['Passwort'];

  $statement = $pdo->prepare("SELECT * FROM login WHERE Email = :Email");
  $result = $statement->execute(array('Email' => $email));
  $user = $statement->fetch();

  //Überprüfung des Passworts
  if ($user !== false && password_verify($passwort, $user['Passwort'])) {
    $_SESSION['userid'] = $user['ID'];
    die('Login erfolgreich. Weiter zu <a href="index.php?site=Startseite">internen Bereich</a>');
  } else {
    $errorMessage = "E-Mail oder Passwort war ungültig<br>";
  }

}
?>
<!DOCTYPE html>
<html>
<head>
  <title>Login</title>
</head>
<body>

<?php
if(isset($errorMessage)) {
  echo $errorMessage;
}
?>

<form action="Loginseite.php?login=1" method="post">
  E-Mail:<br>
  <input type="email" size="40" maxlength="250" name="Email" required><br><br>

  Dein Passwort:<br>
  <input type="password" size="40" maxlength="250" name="Passwort" required><br>

  <input type="submit" value="Login">
</form>
</body>
</html>

...zur Frage

Likes eines Tweets abfragen?

Hallo zusammen,

ich möchte per C# die Likes und Retweets von einem zuvor ausgewählten Twitter Posts abfragen. Den Twitter Post habe ich zuvor selber verfasst bzw. werde ich vorab erstellen.

Daher nun meine Frage, mit welchem Programmcode muss ich diese Abfrage verfassen, um die gewünschten Werte abfragen zu können.

Nutzen für diese Abfrage der Twitter API ist in Visual Studio der Tweetinvi - sollte es nicht möglich sein, so würde ich die Abfrage auch über einen anderen API herstellen.

...zur Frage

Kostenlose Wetter Api (JS/JSON)?

Ich möchte keine Abonnements / 14 Tätige Testversionen buchen.

Am besten auch kein Registrieren auf irgendeiner Website

Muss nichts gutes sein. Ist nur zum üben.

...zur Frage

Bezahl System mit API verbinden?

Hallo zusammen,

ich würde gerne auf meiner Webseite ein Bazahl System einführen. Es soll nach dem bezahlen eine API request ausgeführt werden weiß jemand wie man sowas verbindet oder ist das bei bezahl Systemen Standardmäßig eingebaut?

Danke für eure Tipps.

...zur Frage

Postman - GET API?

Hallo, habe eine Frage und zwar ich habe eine API mit einem Array und noch paar andere Informationen (außerhalb des arrays). Nun möchte ich aber nur die Daten des Arrays mit Postman haben. Wie geht das:

https://localhost/api/index liefert die ganzen Daten

Habe es so schon probiert, dass ich das array wo ein bestimmter Name drinnen steht ausgibt, aber da bekomme ich dann ein HTML und kein JSON als Response.

https://localhost/api/index/:name

...zur Frage

Wie Währung umrechnen mit diesen Werten (JavaScript)?

Was bedeutet rate/inverseRate ? Kenne mich leider nicht mit Währungen aus. Wie würde ich jetzt Mathematisch 1 Euro in Pfund rechnen ?

...zur Frage

Kann mir jemand helfen eine eigene API zu erstellen?

Hallo, ich möchte eine eigene API erstellen, die Texte meines Cloudservers in mein Unity Spiel schickt. Ich besitze einen Rasberry PI 4 über den ich meine API laufen lassen möchte.

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen