|
16 | 16 | - [ ] Используйте случайный сложный ключ (`JWT Secret`), чтобы сделать брут форс токена бесполезным. |
17 | 17 | - [ ] Не полагайтесь на переданное в заголовках название алгоритма, лучше закрепите его константой на сервере (`HS256` или `RS256`). |
18 | 18 | - [ ] Сделайте срок действия токена (`TTL`, `RTTL`) как можно короче. |
19 | | -- [ ] Не храните конфиденциальные данные в JWT, ее можно [легко декодировать.](https://jwt.io/#debugger-io). |
| 19 | +- [ ] Не храните конфиденциальные данные в JWT, его можно [легко декодировать.](https://jwt.io/#debugger-io). |
20 | 20 |
|
21 | 21 | ### OAuth |
22 | | -- [ ] Всегда проверяйте `redirect_uri` на стороне сервера, чтобы разрешать только URL-адреса с белыми списками. |
| 22 | +- [ ] Всегда проверяйте `redirect_uri` на стороне сервера, чтобы разрешать только URL-адреса из белых списков (whitelist). |
23 | 23 | - [ ] Всегда старайтесь обменивать временный код, а не токены (не использовать `response_type=token`). |
24 | 24 | - [ ] Используйте параметр `state` со случайным хешем, чтобы предотвратить CSRF в процессе аутентификации OAuth. |
25 | 25 | - [ ] Определите scope по умолчанию, а также проверяйте параметры для каждого приложения. |
26 | 26 |
|
27 | 27 | ## Доступ |
28 | | -- [ ] Установите ограничение на кол-во запросов в минуту (Throttling, RPS), чтобы избежать DDoS атак / грубой силы (Brute Force). |
29 | | -- [ ] Используйте HTTPS на стороне сервера, чтобы избежать MITM (Man In The Middle Attack / Атака посредника). |
| 28 | +- [ ] Установите ограничение на кол-во запросов в минуту (Throttling, RPM-Limit), чтобы избежать DDoS / Brute Force атак. |
| 29 | +- [ ] Используйте HTTPS на стороне сервера, чтобы избежать [MITM](https://ru.wikipedia.org/wiki/Атака_посредника) (Man In The Middle Attack / атака "человек посередине"). |
30 | 30 | - [ ] Используйте заголовок `HSTS` (HTTP Strict Transport Security) с SSL, чтобы избежать атаки SSL Strip (перехват SSL соединений). |
31 | 31 |
|
32 | 32 | ## Запрос |
|
0 commit comments