Üye Girişi
Bağlan Google+ ile Bağlan Facebook ile Bağlan
Yeni Kayıt
Tüm Forumlar
  • Tüm Forumlar
  • Web Tasarım - Programlama
  • Yazılım Geliştirme
  • Java
  • Bu Konuda
Şimdi Ara

Jwt ile Email Verification?

Sıcak Fırsatlarda Tıklananlar
Editörün Seçtiği Fırsatlar
Daha Fazla
Bu Konudaki Kullanıcılar: Daha Az
2 Misafir - 2 Masaüstü
5 sn
2
Cevap
0
Favori
392
Tıklama
Daha Fazla
İstatistik
  • Konu İstatistikleri Yükleniyor
Konuya Özel
0 oy
Öne Çıkar
Cevapla
Sayfa: 1
Giriş
Mesaj
  • Arkadaşlar merhaba,kendimi geliştirme açısından Spring boot,Security ile bir üyelik sistemi oluşturmaya çalışıyorum,Kullanıcıların login olma işlerini JWT ile token bazlı bir şekilde halediyorum. Şimdi de yeni kayıt olan kullanıcılar için email aktivasyon işlemi eklemek istiyorum.

    Bunun için bir kaç örneğe baktım genelde şu mantık kullanılmış; kayıt işlemimi sırasında random bir token üretiliyor sonrasında bu token kullanıcının mail adresine link üzerinde gönderiliyor ve aynı zamanda kullanıcı ile ilişkili bi şekilde veri tabanına kaydediliyor, mail adresinden bu linke tıklanıldığında veritabanından token sorgulanıp ilgili kullanıcı aktif hale getiriliyor.

    Aklıma şöyle bir fikir geldi; Jwt'nin stateless yapsısı olduğundan,gereksiz yere veri tabanında bu şekilde token tutmak yerine, kullanıcının propertyleri ile bir jwt token'i uretip,mail adresine link üzerinde bunu göndersem, kullanıcı linke tıklandığında da bu tokeni çözüp kullanıcıyı aktif etsem aynı amaca ulaşmış olacağım.

    böyle bir yapı oluşturmak sizce uygun mudur? herhangi bir güvenlik açığı oluştur mu ?,



    < Bu mesaj bu kişi tarafından değiştirildi Charizard_11 -- 14 Mart 2018; 11:18:53 >







  • Secure Random kullanmadigin her token generate etme islemi potansiyel guvenlik riskidir ( ornegin sistem zamani uzerinden token generate etmek gibi ). Cunku herhangi bir property e bagli generate edersen tahmin edilebilir olur. Ayrica tek bir kullanici icin bir cok defa token generate etmek durumunda kalabilirsin. Her seferinde ayni token olmamasi icin farkli property ler secmen gerekecek bu da pek feasible degil.

    Bir de veri tabaninda token tutmak stateless yapiya aykiri degil, session da tutmadigin ve buna dependant olmadigin surece stateless yapiyi bozmus olmazsin. Ek olarak tutacagin tokenlarin timeout degeri olmali, token kullanildiktan sonra deaktive olmali ( ayni token 2 defa kullanilmamali ) ve kullaniciya email uzerinden token gondermeden once emaili valide etmis olmak gerekiyor.

    Best practice 'ler icin OWASP ' i inceleyebilirsin.https://www.owasp.org/index.php/Authentication_Cheat_Sheet

    < Bu ileti tablet sürüm kullanılarak atıldı >




    • Yapay Zeka’dan İlgili Konular
    C# excel'i form sayfasına import etmek
    6 yıl önce açıldı
    Forti Client SSL VPN "your device may not support 30+ routes" hatası
    geçen ay açıldı
    IP bilgilerini CMD ile txt çıktısı alma
    7 ay önce açıldı
    Daha Fazla Göster
    
Sayfa: 1

Benzer içerikler

- x
Bildirim
mesajınız kopyalandı (ctrl+v) yapıştırmak istediğiniz yere yapıştırabilirsiniz.
Hizmet kalitesi için çerezleri kullanabiliriz, DH'yi kullanırken depoladığımız çerezlerle ilgili veri politikamıza gözatın.
Kabul Ediyorum