Supongo que se refiere a “tokens antiguos” como datos de corta duración, únicos, opacos y sin sentido que están asociados en el servidor de autorización con un usuario. Al contrario de los tokens JWT que contienen información cifrada sobre el usuario.
Con los tokens JWT, el servidor de recursos necesita conocer de antemano la clave pública del servidor de autorizaciones para descifrar los tokens JWT y recuperar datos sobre el usuario conectado. Con los tokens JWT, el servidor de recursos recibe un token con cada solicitud. El servidor de recursos descifra el token con la clave pública y obtiene todos los datos necesarios sobre el usuario o para asignar, el token a un usuario, desde el token.
Con “tokens antiguos”, el servidor de recursos también recibe un token en cada solicitud. Cada vez, el servidor de recursos necesita preguntarle al servidor de autorización sobre la validez del token y el usuario asignado.
- ¿Cómo conseguir un trabajo en compañías antivirus como McAfee, Avast, Symantec, etc.? ¿Cuáles deberían ser mis habilidades?
- ¿Cómo podría alguien secuestrar mi dominio sin contraseña, credenciales o incluso conocimiento de su existencia?
- ¿Necesitamos una acción central para evitar el exceso de contraseña?
- ¿Cuáles son los riesgos de seguridad asociados con el uso de aplicaciones móviles? ¿Es tan vulnerable como cualquier red informática normal?
- Si tiene 2 usuarios en una computadora (Admin y Usuario1) y el Usuario1 obtiene un virus, ¿afecta a ambos usuarios o solo al que lo adquirió?
Los tokens JWT son más eficientes en términos de comunicaciones entre el servidor de recursos y el servidor de autorización. Los “tokens antiguos” pueden considerarse más seguros porque es más fácil invalidar manualmente un token para que cualquier servidor de recursos que use ese servidor de autorización rechace inmediatamente ese token. Por otro lado, eso no puede suceder con un token JWT que continuaría siendo válido hasta el vencimiento y el servidor de recursos no sabría que fue invalidado manualmente.
