#jwt

Novo post no blog: JWT: três erros que todo mundo comete na primeira implementação Você copia o exemplo do PyJWT, funciona, e acha que está pronto. Mas a implementação padrão tem três problemas sérios: aceitar o algoritmo que o token declara, ausência de revogação, e segredo fraco. Para cada erro: o mecanismo, como explorar, e como corrigir. https://riverfount.dev.br/posts/jwt_tres_erros/ #python #segurança #jwt #autenticação

High severity authorization #vulnerability in Keycloak:

1. Of course it’s because of JWT
2. If a project with a sole purpose is authn/authz is getting #JWT wrong, you probably are too.

https://github.com/advisories/GHSA-hcvw-475w-8g7p