Sadece bu makaleyi okuyun birkaç yaşındadır ama DİNLENME API'leri güvence zeki bir şekilde tarif etmektedir. esasen:
- Her müşterinin benzersiz bir genel / özel anahtar çifti vardır
- Özel anahtarı yalnızca istemci ve sunucu bilir; asla tel üzerinden gönderilmez
- Her istekte, istemci birkaç girdi alır (tüm isteğin kendisi, geçerli zaman damgası ve özel anahtar) ve bunları bir karma değeri oluşturmak için bir HMAC işlevi aracılığıyla çalıştırır
- Istemci daha sonra normal istek (ortak anahtar içeren) ve karma sunucuya gönderir
- Sunucu, istemcinin özel anahtarını arar (sağlanan ortak anahtara göre) ve isteğin bir tekrar saldırısının kurbanı olmadığını doğrulayan bazı zaman damgası denetimi (itirafla anlamıyorum) yapar
- Her şey yolundaysa, sunucu isteğin kendi karmasını oluşturmak için özel anahtarı ve aynı HMAC işlevini kullanır
- Sunucu daha sonra her iki karmayı (istemci tarafından gönderilen yanı sıra oluşturduğu) karşılaştırır; eşleşmeleri durumunda isteğin kimliği doğrulanır ve devam etmesine izin verilir
Sonra tökezledi JWT çok benzer sesler, hangi. Ancak ilk makale JWT'den hiç bahsetmiyor ve bu yüzden JWT'nin yukarıdaki yetkilendirme çözümünden farklı olup olmadığını ve eğer öyleyse nasıl olduğunu merak ediyorum.