Json Web Token
AnteriorInsecure Direct Object Reference (IDORs)SiguienteIntercambio de recursos de origen cruzado (CORS)
Última actualización
Última actualización
JSON Web Token es un estándar abierto basado en JSON propuesto por IETF para la creación de tokens de acceso que permiten la propagación de identidad y privilegios
Primero tenemos nuestro laboratorio, podemos loguearnos como el usuario uno o dos lo hare con el uno.
Me logueo como el usuario numero uno.
Si inspeccionamos observamos que tenemos un Json web token para el usuario numero uno el cual usaremos.
Si nos vamos a jwt.io y pegamos el Json web token que tenemos para nuestro usuario que es el usuario numero uno nos divide en tres partes el Json web token.
La primera parte es el header osea la cabezera, la segunda datos y la tercera el SIGNATURE donde va el secreto si lo tiene.
Vamos a crearnos uno Json web token para tratar de migrar al usuario numero dos.
En alg ponemos none si no necesita incrip, y solo tenemos dos cadenas ya que para este Json web token no pide el secreto para crear nuevos.
Y listo tenemos un Json web token que lo usuaremos para migrar al usuario dos, que se lo especificamos en la segunda cadena id:.
Ahora nos vamos al storage del usuario borramos el token que ya teniamos y pegamos el que hemos creado para asi poder migrar al usuario numero dos.
Actualizamos y somos el usuario numero dos.
Welcome user2.
Ahora una cosa si el aplicativo tiene en el SIGNATURE asignado un secreto osea una clave no podrias crear un Json web token nuevo a menos que conoscas el secreto osea la clave entonces tocaria usar la imaginacion.
