DH Anasayfa
İndirim Kodu
Ara
Popüler
Foruma Git
Hakkımızda
Destek
Mobil Sürüm
Standart Site Görünümü
Bu Konuda
  • Tüm Forumlar
  • Web Tasarım - Programlama
  • Yazılım Geliştirme
  • Java
  • Bu Konuda
Arama butonu
Bağlan:
Facebook
Google+
Twitter
Aşağı Git Tüm Forumlar Web Tasarım - Programlama Yazılım Geliştirme Java Jwt ile Email Verification?
Bu konudaki kullanıcılar: 1 misafir, 1 mobil kullanıcı
1
Cevap 409
Tıklama 0
Öne Çıkarma
Jwt ile Email Verification?
Cevap Yaz
Konuya Özel
C
Charizard_11
7 yıl
Çavuş
Konu Sahibi

Arkadaşlar merhaba,kendimi geliştirme açısından Spring boot,Security ile bir üyelik sistemi oluşturmaya çalışıyorum,Kullanıcıların login olma işlerini JWT ile token bazlı bir şekilde halediyorum. Şimdi de yeni kayıt olan kullanıcılar için email aktivasyon işlemi eklemek istiyorum.

Bunun için bir kaç örneğe baktım genelde şu mantık kullanılmış; kayıt işlemimi sırasında random bir token üretiliyor sonrasında bu token kullanıcının mail adresine link üzerinde gönderiliyor ve aynı zamanda kullanıcı ile ilişkili bi şekilde veri tabanına kaydediliyor, mail adresinden bu linke tıklanıldığında veritabanından token sorgulanıp ilgili kullanıcı aktif hale getiriliyor.

Aklıma şöyle bir fikir geldi; Jwt'nin stateless yapsısı olduğundan,gereksiz yere veri tabanında bu şekilde token tutmak yerine, kullanıcının propertyleri ile bir jwt token'i uretip,mail adresine link üzerinde bunu göndersem, kullanıcı linke tıklandığında da bu tokeni çözüp kullanıcıyı aktif etsem aynı amaca ulaşmış olacağım.

böyle bir yapı oluşturmak sizce uygun mudur? herhangi bir güvenlik açığı oluştur mu ?,

DH forumlarında vakit geçirmekten keyif alıyor gibisin ancak giriş yapmadığını görüyoruz.

Üye olduğunda özel mesaj gönderebilir, beğendiğin konuları favorilerine ekleyip takibe alabilir ve daha önce gezdiğin konulara hızlıca erişebilirsin.

Üye Ol Şimdi Değil
Bir Daha Gösterme





< Bu mesaj bu kişi tarafından değiştirildi Charizard_11 -- 14 Mart 2018; 11:18:53 >

M
Mephalay
7 yıl
Yarbay

Secure Random kullanmadigin her token generate etme islemi potansiyel guvenlik riskidir ( ornegin sistem zamani uzerinden token generate etmek gibi ). Cunku herhangi bir property e bagli generate edersen tahmin edilebilir olur. Ayrica tek bir kullanici icin bir cok defa token generate etmek durumunda kalabilirsin. Her seferinde ayni token olmamasi icin farkli property ler secmen gerekecek bu da pek feasible degil.

Bir de veri tabaninda token tutmak stateless yapiya aykiri degil, session da tutmadigin ve buna dependant olmadigin surece stateless yapiyi bozmus olmazsin. Ek olarak tutacagin tokenlarin timeout degeri olmali, token kullanildiktan sonra deaktive olmali ( ayni token 2 defa kullanilmamali ) ve kullaniciya email uzerinden token gondermeden once emaili valide etmis olmak gerekiyor.

Best practice 'ler icin OWASP ' i inceleyebilirsin.https://www.owasp.org/index.php/Authentication_Cheat_Sheet



< Bu ileti tablet sürüm kullanılarak atıldı >
Cevap Yaz
Tüm Forumlar Web Tasarım - Programlama Yazılım Geliştirme Java Jwt ile Email Verification?
DH Mobil uygulaması ile devam edin. Mobil tarayıcınız ile mümkün olanların yanı sıra, birçok yeni ve faydalı özelliğe erişin.
App Store'danİndirin Google Play'denİndirin
Gizle ve güncelleme çıkana kadar tekrar gösterme.
DonanımHaber Forum - Mini Sürüm

Hakkımızda | Yukarı

Tam sürüm için tıklayınız
Version: 1.2.871
Donanım Sponsoru: incehesap.com