JWT realmente é seguro? Algum outro método é?

Boa tarde!

O JWT pode ser uma ferramenta poderosíssima se utilizada com a correta implementação. Você pode ter API stateless ou até statefull se utilizar o JWT.

Mas vamos para o ponto questionado: a segurança. Na minha opinião, se você aplicar um bom algoritmo de criptografia, onde a chave fique armazenada em lugar seguro, e implementar mais algumas validações sobre o request, você terá a segurança necessária para garantia dos dados.

No curso que você fez, deve ter sido apresentado a questão mais teórica/conceitual. Exige um pouco mais de tempo a questão de segurança.

O mais comum é a geração e criptografia pelo back-end, e apenas o consumo / trafego pelo front-end.

Espero ter ajudado.

Bons estudos!

E ai Thiago!

Provavelmente o conteúdo do curso é conceitual, porém estou tentando entender como posso melhorar isso, por isso perguntei de cursos relacionados a essa parte de segurança.

Entendo que se existir um site que é renderizado no servidor, minha API poderia fazer parte de uma rede privada e com isso conseguiria restringir o acesso a ela somente através dessa rede, ai os dados seriam exibidos somente pelo front, quem acessa o site nem saberia que a API existe.

No caso do Angular, imagino que no React também, não consigo fazer isso, e mesmo que usasse um JWT, a lógica e a chave ficariam na Web. Então eu não deveria utilizar ambos?

Gostaria de ter mais informações sobre isso para criar sites/apis seguras.

Boa tarde!

Aqui no trabalho usamos o java no back-end como serviços, devolvendo json para a tela, e angular no front-end.

Camadas protegidas, separando tudo.

No seu caso, o site é aberto ou precisa de autenticação para acessar? Vocês utilizando Universal?

Estava pensando aqui, para um site que é necessário autenticação, provavelmente o JWT faça sentido, mas para um site aberto com API privada, acho que Angular não seria uma boa escolha.

Isso pode ser também por eu não ter um conhecimento tão aprofundado no Angular, mas pelo que pesquisei, não consegui encontrar uma maneira de proteger a API.

Pensando em geral da minha pergunta, talvez nem seja questão de back e front, talvez esteja relacionado a maneira que está a parte de infra, também não sei se API privada seria o termo correto.

Bom dia Mateus.

Na empresa o site é interno e precisa de autenticação. Mas não gravamos sessão. Os dados ficam armazenados e criptografados no JWT.

A nossas APIs foram desenvolvidas em Java, e os endpoints tem um filtro que faz a validação dos dados.

Sobre a questão de autenticação, achei um link interessante: https://blog.mandic.com.br/artigos/seguranca-em-apis-rest-parte-1/

Acho que vale a leitura.

Bom dia Thiago,

Com um site aberto, entendo que a API deve ter outras formas de controle, talvez restringir por IP ou algo relacionado a isso, de qualquer maneira, obrigado por compartilhar o link.