Entrar Ainda não tem acesso?
Solucionado (ver solução)
Solucionado
(ver solução)
1
resposta

Dependências do JWT com vulnerabilidades - Qual utilizar em substituição?

Referente ao curso Kotlin e Spring: segurança e infraestrutura, no capítulo Segurança com JWT e atividade Criando a função de gerar Tokens

por Reginaldo Spricigo
| 187.4k xp | 5 posts

Boa noite! Ao acessar o repositório do Maven para pegar a dependência, notei que há várias vulnerabilidades apontadas nessa dependência.

Dependência Maven com vulnerabilidades

Fiquei na dúvida sobre como prosseguir. Encontrei outras dependências como "io.jsonwebtoken » jjwt-impl" e "io.jsonwebtoken » jjwt-api" mas não consegui identificar a diferença e se é possível usar em substituição. Qual seria a recomendação? Essa dependência utilizada no curso, visto as vulnerabilidades sinalizadas nela, não deve ser usada em aplicações reais, correto? Poderiam me dar um direcionamento sobre essa questão.

Grato desde já.

Garanta sua matrícula hoje e ganhe + 2 meses grátis

Continue sua jornada tech com ainda mais tempo para aprender e evoluir

Quero aproveitar agora
1 resposta
solução!
por João Victor
| 348.3k xp | 540 posts
Instrutor

Opa, Reginaldo. Bom dia!! Bom ponto levantado, pelo que eu vi aqui, são algumas dependências que o jsonwebtoken usam que está com vulnerabilidade. Podemos fazer as exclusions dela: 

<dependencies>
    <dependency>
      <groupId>io.jsonwebtoken</groupId>
      <artifactId>jjwt</artifactId>
      <version>0.9.1</version>
      <exclusions>
        <exclusion>  <!-- declare the exclusion here -->
          <groupId>com.fasterxml.jackson.core</groupId>
          <artifactId>jackson-databind</artifactId>
      </exclusion>

        -- Criar para todas as vulnerabilidades. 

      </exclusions> 
    </dependency>
  </dependencies>
</project>

Após isso, vc pode acrescentar as versões da dependências excluídas que tem a resolução da vulnerabilidade. São elas:

Imagem do MVN

Como vc pode vê, em updates tem a versão que foi solucionada =)