Analiza bezpieczeństwa mechanizmów uwierzytelniania oraz autoryzacji implementowanych w aplikacjach internetowych zbudowanych w oparciu o architekturę REST

• Autorzy: Muszyński Tomasz , Kozieł Grzegorz

Identyfikatory

DOI

10.35784/jcsi.1925

Warianty tytułu

EN

A security analysis of authentication and authorization implemented in web applications based on the REST architecture

• Języki publikacji: PL

Abstrakty

PL

Celem artykułu jest analiza bezpieczeństwa mechanizmów uwierzytelniania oraz autoryzacji w aplikacjach internetowych zbudowanych w oparciu o architekturę REST. W artykule przeanalizowano problemy spotykane podczas implementacji mechanizmu JSON Web Token (JWT). W artykule podano przykłady problemów związanych z wdrożeniem autoryzacji i uwierzytelniania oraz przedstawiono dobre praktyki ułatwiające zapewnienie bezpieczeństwa aplikacji.

EN

The purpose of this article is to prepare a security analysis of authentication and authorization mechanisms in web applications based on the REST architecture. The article analyzes the problems encountered during the implementation of the JSON Web Token (JWT) mechanism. The article presents examples of problems related to the implementation of authorization and authentication, and presents good practices that help ensure application security.

Słowa kluczowe

PL

bezpieczeństwo; podatność bezpieczeństwa; REST; JWT

EN

security; security vulnerability; REST; JWT

• Wydawca: Wydawnictwo Politechniki Lubelskiej
• Czasopismo: Journal of Computer Sciences Institute
• Rocznik: 2020
• Tom: Vol. 16
• Strony: 252--260
• Opis fizyczny: Bibliogr. 14 poz., rys.

Twórcy

autor

Muszyński Tomasz

• Department of Computer Science, Lublin University of Technology, Nadbystrzycka 36B, 20-618 Lublin, Poland

autor

Kozieł Grzegorz

• Department of Computer Science, Lublin University of Technology, Nadbystrzycka 36B, 20-618 Lublin, Poland

Bibliografia

• [1] Praca zbiorowa, Bezpieczeństwo aplikacji webowych, Securitum, Kraków 2019.
• [2] J. S. Karsun, Solutions LLC Microservices API Security https://www.ijert.org/research/
• microservices-api-security-IJERTV7IS010137.pdf
• [3] J. H. Saltzer, M. D. Schroeder, The Protection of Information in Computer Systems http://web.mit.edu/Saltzer/www/publications/protection/index.html
• [4] OWASP Application Security Verification Stand-ard, https://owasp.org/www-project-application-security-verification-standard/ [28.04.2020]
• [5] OWASP Proactive Controls, https://owasp.org/
• www-project-proactive-controls/ [06.05.2020]
• [6] Opis architektury REST, https://restfulapi.net/ [9.04.2020] .
• [7] Porównanie popularność architektury REST i protokołu SOAP https://trends.google.com/trends/explore
• ?date=all&q=REST%20API,%2Fm%2F077dn [18.04.2020].
• [8] Specyfikcja JWT, https://tools.ietf.org/html/rfc7519 [11.04.2020].
• [9] Informacje o JWT, https://jwt.io/introduction/ [11.04.2020]
• [10] Opis biblioteki jsonwebtoken, https://www.npmjs.com/package/jsonwebtoken [11.04.2020].
• [11] Narzędzie JWT cracker, https://github.com/brendan-rius/c-jwt-cracker [28.04.2020].
• [12] Zalecenia dotyczące polityki bezpieczeństwa hasła https://pages.nist.gov/800-63-3/sp800-63b.html#sec5 [06.05.2020].
• [13] Opis podatności związanej z brakiem uwierzytelniania https://dzone.com/articles/api-security-weekly-issue-70 [06.05.2020].
• [14] Opis najbardziej krytycznych podatności API, https://owasp.org/www-project-api-security/ [11.04.2020].

Uwagi

Opracowanie rekordu ze środków MNiSW, umowa Nr 461252 w ramach programu "Społeczna odpowiedzialność nauki" - moduł: Popularyzacja nauki i promocja sportu (2020).