Slides zum Vortrag https://entwicklertag.de/karlsruhe/2016/token-statt-cookies
Im Zeitalter von Microservices und Applikationen, die sich aus vielen verteilten Komponenten zusammensetzen und CSRF und CORS Aspekte abdecken müssen sind Session-Cookies nicht mehr praktikabel.
Token versprechen die heilvolle Alternative zu sein und mit JWT (JSON Web Token) liegt der Entwurf für einen Standard vor, der die Verwendung von Tokens innerhalb einer Applikationslandschaft vereinfachen soll.
Der Talk zeigt, ob Tokens ihr versprechen halten und Webapplikationen auch ohne Kekse ein Genuss bleiben.
4. Sessions & Cookies
Credentials validieren,
Session erzeugen
Session Cookie
Session
Store
Session validieren,
Zugriff kontrollieren
http://app.canoo.com http://app.canoo.com
5. Sessions & Cookies
Loadbalancing benötigt geteilten Sessionpool
Services werden gekoppelt
Cross Domain Authentifizierung: CORS
CSRF Verwundbarkeit
Andere Clients ausser Browser?
6. JSON Web Tokens are an open, industry
standard method for representing claims
securely between two parties.
(RFC 7519)
JSON Web Token
The suggested pronunciation of JWT
is the same as the English word "jot".
7. JSON Web Token
basierend auf anderen JSON-Standards:
JWS (JSON Web Signature)
JWE (JSON Web Encryption)
!!!
Bibliotheken für..
13. JWT Überblick
basiert auf JSON
einfach zu nutzen, einfach zu implementieren
symmetrische und asymmetrische Crypto
reduziert Abhängigkeiten
Basisprinzip von REST: State transfer
14. Cookies nicht obsolet, Token bieten jedoch viele Vorteile
JWT für Skalierbarkeit und Flexibilität
Cross Plattform
Cookies oder Token?
Anforderungen und Implikationen abwägen!
Zusammenfassung
15. Demo Sources und Slides:
https://github.com/madmas/TokenVsCookies