JWT(JSON Web Token) | Bearer token - что это и как это работает

Привет всем! В этом видео я расскажу вам о JSON Web Token (JWT) и о том, что должен знать тестировщик о нем. Мы обсудим различные типы токенов, такие как access token, refresh token и bearer token, и узнаем, для чего они используются.
Access token - это токен, который выдается пользователю после успешной аутентификации. Он содержит информацию о правах доступа пользователя к определенным ресурсам или функциональности. Access token обычно имеет ограниченное время жизни и должен быть передан с каждым запросом к защищенным ресурсам.
Refresh token - это токен, который используется для обновления access token. Когда access token истекает, refresh token может быть использован для получения нового access token без необходимости повторной аутентификации. Refresh token обычно имеет более длительное время жизни, чем access token, и должен быть хранен в безопасном месте.
Bearer token - это тип авторизации, при котором access token передается в заголовке запроса или в параметре URL. Bearer token предоставляет доступ к защищенным ресурсам и должен быть передан с каждым запросом. Он обычно начинается со слова "Bearer", за которым следует сам токен.
В этом видео мы рассмотрим примеры использования каждого типа токена и обсудим основные проблемы, с которыми тестировщик может столкнуться при работе с JWT. Будет полезно узнать, как проверять правильность генерации и обработки токенов, а также как обрабатывать ошибки и исключения, связанные с JWT.
Не пропустите это видео, если вы интересуетесь тестированием и хотите узнать больше о JSON Web Token и его роли в безопасности приложений.
Ссылки:
Расшифровка токена - jwt.io/
Создать токен - jwtbuilder.jamiekurtz.com/
Donate на поддержку канала:
карта сбер - 2202 2068 4325 7309
0:00 Начало
0:30 из чего состоит JWT
01:00 немного про авторизацию с помощью Session
01:43 авторизация с помощью JWT
02:57 access token & refresh token
03:33 для чего нужен refresh token
04:09 создание тестового JWT
05:04 для чего нужно обновлять токен
06:34 получение токена в Postman(не JWT, но суть такая же)
#тестировщик #qa #https #jwt #bearer

Пікірлер: 22

  • @Vitalik1223
    @Vitalik1223 Жыл бұрын

    По теме JWT было бы интересно узнать варианты тестирования токенов, какие-то важные моменты - особенности.

  • @egoregor943
    @egoregor943 Жыл бұрын

    Формат материала и его подача, равно топ )

  • @egoregor943
    @egoregor94310 ай бұрын

    Освети пожалуйста тему аутентификации и авторизации поподробнее, а то есть затыки, реализации stateless и statefull, протоколы oauth, openid и тд) думаю тема очень полезна будет) благодарствую за твои труды)

  • @Vladimir-bz9tg
    @Vladimir-bz9tg Жыл бұрын

    Спасибо за Ваш труд

  • @andrewkotov3234
    @andrewkotov3234 Жыл бұрын

    Отдельно спасибо за ссылки на ресурсы

  • @minicopim
    @minicopim10 ай бұрын

    пушка, сейчас досмотрю видео и считай устроился на работу QA

  • @maximpopov8279
    @maximpopov8279 Жыл бұрын

    Полезный материал

  • @romandiakun6951
    @romandiakun6951 Жыл бұрын

    полезная инфа, готов даже платить за подписку

  • @Vitalik1223
    @Vitalik1223 Жыл бұрын

    Буквально на днях меня на собеседовании в Банк просили разъяснить как работает JWT, жаль что раньше не посмотрел это видео, всё прям понятно)) спасибо большое! Полезно!

  • @qa_tech

    @qa_tech

    Жыл бұрын

    Пожалуйста, удачи на собесах)

  • @ebaklak2389
    @ebaklak2389 Жыл бұрын

    о, картинка уже более качественная, надеюсь в следующих видео будет не хуже, а может даже и лучше ;)

  • @egoregor943
    @egoregor943 Жыл бұрын

    Привет. Подскажи стоит ли проходить какие-то курсы по тестированию или же все таки информации в интернете предостаточно чтобы все освоить самому? Было бы интересно узнать твое мнение по этому вопросу и мог бы рассказать какой-то актуальный roadmap в 2023 по изучению?!) Заранее благодарю )

  • @qa_tech

    @qa_tech

    Жыл бұрын

    Привет, для уровня junior информации вполне достаточно, главное поставить цель и прокачивать навыки. Хорошие курсы посоветовать не могу, не проходил их)

  • @Sould4ncer
    @Sould4ncer4 ай бұрын

    не совсем понятно про момент, когда злоумышленник получил 2 токена. Почему в какой-то момент он перестает получать новый refresh токен?

  • @qa_tech

    @qa_tech

    4 ай бұрын

    1.Хакер воспользовался access token'ом 2.Закончилось время жизни access token'на 3.Клиент хакера отправляет refresh token и fingerprint 4.Сервер смотрит fingerprint хакера 5.Сервер не находит fingerprint хакера в рефреш-сессии и удаляет ее из БД 6.Сервер логирует попытку несанкционированного обновления токенов 7.Сервер перенаправляет хакера на станицу логина. Хакер идет лесом 8.Юзер пробует зайти на сервер >> обнаруживается что refresh token отсутствует 9.Сервер перенаправляет юзера на форму аутентификации 10.Юзер вводит логин/пароль

  • @Sould4ncer

    @Sould4ncer

    4 ай бұрын

    @@qa_tech Прикольно! Спасибо!

  • @egoregor943
    @egoregor94310 ай бұрын

    Скажи а где токены передаются в запросах api? Куки, хэдеры, заголовок??

  • @qa_tech

    @qa_tech

    10 ай бұрын

    Привет, токены передаются в заголовке "Authorization"

  • @andrewkotov3234
    @andrewkotov3234 Жыл бұрын

    А чем отличается bearer token от jwt?

  • @qa_tech

    @qa_tech

    Жыл бұрын

    JWT - это способ кодирования токенов в формате JSON. Bearer Token - это и есть сам токен, строка c добавлением приставки Bearer, которая используется для авторизации (Authorization: Bearer )

  • @unicoxr5tj417
    @unicoxr5tj417 Жыл бұрын

    перезалив)

  • @qa_tech

    @qa_tech

    Жыл бұрын

    да, добавил конкретику про случай "что будет если злоумышленник получит доступ к токенам"