Was ist JWT und wie schützt diese Technologie Ihre Dokumente?

25 Mai 2022 By Vlad 0 6
Share

Es gibt viele Möglichkeiten, Dateien aktiv zu schützen – durch Verschlüsselung, Wasserzeichen, Zugriffsberechtigungen. Aber die echte Dokumentensicherheit endet hier noch nicht. Heute stellen wir Ihnen JWT vor, einen wichtigen Zugriffsschutz, der immer im Hintergrund funktioniert und sicherstellt, dass nur autorisierte Benutzer:innen Ihre Dateien bearbeiten können.

What is JWT and how this technology protects your documents

Was ist JWT?

JSON Web Token (JWT, ausgesprochen als /dʒɒt/) ist ein offener Standard für den sicheren Online-Informationsaustausch, der hauptsächlich für zwei Zwecke verwendet wird: Autorisierung und Datenübertragung.

Ein kompaktes JSON-Objekt enthält die Authentifizierungsinformationen und erlaubt es, berechtigte Benutzer:innen des Dienstes zu überprüfen, wenn es in Webanwendungen verwendet wird. Anders ausgedrückt: es hilft der Anwendung zu bestätigen, dass die Informationen wirklich von der Person gesendet wurden, die sie angeblich sind.

JWT ist ein in sich geschlossenes Objekt in Form einer Zeichenkette, das aus drei Teilen besteht: Header, Payload und Signatur. Der Header enthält die Informationen über das Token und wie die Signatur erzeugt wird, der Payload enthält die notwendigen Angaben über Benutzer:innen, um sie die Zugriffsberechtigung zu erteilen, und die Signatur validiert die Personen.

Das Token kann mit einem geheimen Schlüssel signiert werden, mit dem die Herkunft der übertragenen Daten überprüfen wird.

Wie ONLYOFFICE Sicherheits-Token verwendet

In ONLYOFFICE schützt JWT den Datenfluss zwischen dem Editor und Benutzer:innen. Es hilft bei der Verifizierung von Personen, die bei Bearbeitungssitzungen in Docs aktiv werden und versuchen, bestimmte Handlungen in Dokumenten durchzuführen.
Für jede HTTP-Anfrage, die vom und an den ONLYOFFICE-Dokumentenserver kommt, wird ein Token generiert und zu den Parametern hinzugefügt.

Dabei werden unterschiedliche JWT-Token für verschiedene Benutzerhandlungen generiert. Während die Token in jedem Fall mit demselben Geheimschlüssel signiert werden, unterscheiden sich die Informationen, die zur Autorisierung der Eingabe benötigt werden. So wird beispielsweise ein einzelnes Token für das Öffnen des Editors, für das Einfügen eines Bildes in die Datei, für das Öffnen des Versionsverlaufs usw. erstellt.

Um zum Beispiel ein PNG-Bild in die auf www.example.com gehostete Datei einzufügen, werden die folgenden Parameter ins Token aufgenommen:

{
"fileType": "png",
"url": "https://example.com/url-to-example-image.png"
}

Und so wird das Beispiel-Token aussehen:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJmaWxlVHlwZSI6InBuZyIsInVybCI6Imh0dHBzOi8vZXhhbXBsZS5jb20vdXJsLXRvLWV4YW1wbGUtaW1hZ2UucG5nIn0.FXuC3GUvPq3japwyzo4i-utUe3g1rfSDt1ytuK_VyCc

Um das JWT zu signieren, wird in jedem Sharing-Dienst, in den ONLYOFFICE Docs integriert ist, ein eigener Geheimschlüssel verwendet.

Wo kann ich einen geheimen Schlüssel erhalten?

In früheren Versionen von ONLYOFFICE Docs war standardmäßig kein JWT-Geheimnis enthalten — der Schlüssel musste von einem Administrator des Host-Dienstes (z. B. Nextcloud) generiert und manuell über die Einstellungen an ONLYOFFICE Document Server übermittelt werden.

Wo ist JWT verfügbar?

JWT wird in fast allen offiziellen Integrations-Apps von ONLYOFFICE unterstützt:

  • Nextcloud
  • ownCloud
  • Alfresco
  • Moodle
  • Mattermost
  • Chamilo
  • HumHub
  • Confluence
  • Plone
  • Strapi
  • Liferay
  • Jira
  • Nuxeo
  • Redmine

Sie können alle verfügbaren Integrationen auf unserer Website entdecken und auch Anleitungen zur Konfiguration der Token auf den entsprechenden GitHub-Seiten finden.

Wenn Sie eine ONLYOFFICE-Integrations-App für Ihre eigene App erstellen möchten, ist es möglich, die Unterstützung für die Sicherheits-Tokens mithilfe unserer API-Dokumentation hinzuzufügen.

Share

Kommentar hinzufügen