Entrar Ainda não tem acesso?
Solucionado (ver solução)
Solucionado
(ver solução)
2
respostas

Copia de Token

Referente ao curso Spring Boot API Rest: Segurança da API, Cache e Monitoramento

por Marcos Vinicius de Araújo Andrade
| 741.9k xp | 198 posts
Full Stack Engineer

Boa tarde. Se de alguma maneira houver uma cópia do token JWT e um repasse a outro client, a "sessão" poderá ser acessada por outrem?

É possível evitar isso, caso sim? Como armazenar com segurança o token no client?

Obrigado

2 respostas
solução!
por Rodrigo da Silva Ferreira Caneppele
| 4853.9k xp | 8453 posts
Instrutor Instrutor

Oi Marcos,

Essa é uma questão realmente importante e complicada :D

Não existe uma maneira de proteger totalmente o token de ser "copiado" para outro computador. Se isso acontecer, o token vai ser válido no outro computador e as requisições feitas por ele serão aceitas normalmente.

O que existem são recomendações de segurança ao lidar com tokens de autorização:

  1. Utilizar o protocolo HTTPS na comunicação entre cliente <-> servidor, pois isso vai evitar que hackers obtenham os tokens via ataques do tipo MITM(Man-In-The-Middle)
  2. Armazenar o token preferencialmente em cookies com a flag http only, evitando com isso que eles possam ser recuperados via ataques do tipo XSS(Cross-Site Scripting)
  3. Configurar os tokens para terem vida curta(tokens que expiram em um curto período de tempo), pois assim se algum token "vazar", ele somente poderá ser utilizado por um curto período de tempo.

Essas são as principais recomendações ao se trabalhar com tokens, mas mesmo adotando todas elas, ainda assim haverá risco de acesso indevido a eles.

Bons estudos!

por Marcos Vinicius de Araújo Andrade
| 741.9k xp | 198 posts
Full Stack Engineer

Muito obrigado!