×

Tag: jwt

JWT

JWT: cos’è e perché lo abbiamo scelto per Autentica

JWT, Json Web Token è uno standard open nato nel 2015 per implementare un dialogo tra client e server che permetta ai due interlocutori di “riconoscersi” e scambiarsi informazioni accessorie in maniera certa.

Il nostro servizio di autenticazione in cloud, Autentica, utilizza tecnologia JWT, sfruttandone al massimo le caratteristiche di affidabilità.

Ecco dalla nostra brochure un accenno a come JWT e Autentica formino un perfetto connubio di sicurezza:

“Il meccanismo di funzionamento del JWT, come si è visto sopra, è un meccanismo che garantisce un ottimo livello di sicurezza. L’utilizzo di alcuni accorgimenti può renderlo ancora più efficace.
Un primo accorgimento è l’utilizzo di un canale sicuro per la comunicazione tra client e server. Per le applicazioni web e le app l’utilizzo del protocollo https è un prerequisito irrinunciabile.
Un secondo accorgimento è l’utilizzo, al posto di una chiave di sicurezza unica nota a server e client, di una chiave asimmetrica, cioè formata da una chiave pubblica e una chiave privata.
In Autentica Admin (l’applicazione di amministrazione di Autentica), la coppia di chiavi asimmetriche viene generata quando un amministratore di Autentica crea un nuovo progetto. La chiave privata viene utilizzata per
firmare digitalmente il token e resta riservata, cioè nota solo al server. La chiave pubblica viene mostrata fra i dati del progetto e deve essere utilizzata dal client per verificare la firma digitale dei token prodotti.”

Scarica la bruchure completa: qui

Vediamo meglio di che si tratta:

Law & Order, Select from the World
Leggi
CommentaCommenta
jwt dialogo sicuro contro hacker
, ,

Il dialogo che salva dagli hacker: JWT

Un sistema sicuro di autenticazione è alla base della difesa contro attacchi hacker. Lo sanno molto bene gli sviluppatori che hanno a disposizione molti strumenti utili fra cui scegliere: uno dei più diffusi è il JWT.

Json Web Token (JWT), infatti, è un metodo nato nel 2015 per instaurare un dialogo sicuro tra client e server che permetta ai due interlocutori di “riconoscersi” e scambiarsi informazioni in maniera certa e sicura.

Come funziona?

Il server che si occupa dell’autenticazione scrive in un oggetto chi è l’utente e altre informazioni. Queste informazioni vengono inserite in un gettone (token) da restituire al client. A questo punto chi riceve il gettone (client) ne verifica la correttezza senza poterlo modificare. Alle successive chiamate al server, il client si ‘presenterà’ con il gettone, permettendo al server di identificare l’utente che sta effettuando la chiamata.

Se le informazioni nel gettone sono scritte in maniera adeguata e se il token viene verificato ad ogni utilizzo, risulta evidente che il metodo JWT rappresenta una sintesi tra semplicità d’uso e sicurezza.

Autentica, il servizio di autenticazione in cloud di Generazione Informatica, utilizza gettoni di tipo JWT e ne aumenta la sicurezza aggiungendo meccanismi ulteriori di controllo.

Inoltre l’adozione del JWT facilita il rispetto delle norme sulla privacy previste dal GDPR. Infatti le credenziali di autenticazione non risiedono più nello stesso db delle anagrafiche, ma in un server a parte, proprio come prevede il GDPR.

In un’architettura distribuita, l’utilizzo di questa tecnologia, con gli accorgimenti aggiuntivi adottati da Autentica, aumentano il livello di sicurezza per l’autenticazione. Di conseguenza, grazie al JWT, sarà sicuro anche il dialogo tra qualunque server e i suoi client.

Per approfondire:

JWT e Autentica: vai

La sicurezza dei token in Autentica (video): vai

Vedi il testo del GDPR: vai

Law & Order
Leggi
CommentaCommenta
Generazione Informatica Srl, 2021 - P.IVA 04715160489
Privacy