Praxis · Reale Beispiele
JWT-Case-Studies
Drei Praxis-Beispiele: vom Google-OAuth-Login über Refresh-Token-Rotation bis hin zu einer realen alg=none-Schwachstelle.
Web-App mit Google-Login (OAuth 2.0 + OIDC)
Case-Study: Google-Login via OpenID Connect
Authorization-Code-Flow mit PKCE. Google liefert ID-Token (JWT, RS256). Backend verifiziert via JWKS, prüft iss, aud, exp.
RS256 Lesen →
API-Backend mit User-Login (Node.js + PostgreSQL)
Case-Study: Refresh-Token-Rotation richtig implementiert
Refresh-Token wird bei jedem Refresh ersetzt. Wird ein alter Refresh-Token nochmal verwendet, war er kompromittiert - Familie wird sofort revoziert.
10 Minuten Lesen →
Internes ERP-System (Java + Spring Boot, alte jose4j-Version)
Case-Study: alg=none-Schwachstelle in legacy-System
Legacy-Auth-Microservice mit veralteter JWT-Library: alg-Whitelisting fehlte. Angreifer konnte beliebige User-IDs unterschieben.
alg=none akzeptiert Lesen →