Ensure JWT signatures are verified

Docs > Plateforme de sécurité Datadog > Code Security > Static Analysis (SAST) > SAST Rules > Ensure JWT signatures are verified

Cette page n'est pas encore disponible en français, sa traduction est en cours.
Si vous avez des questions ou des retours sur notre projet de traduction actuel, n'hésitez pas à nous contacter.

Metadata

ID: python-security/insecure-jwt

Language: Python

Severity: Notice

Category: Security

CWE: 287

Description

Use "verify_signature": False when decoding a JWT bypasses security and may authenticate users that should not be authenticated.

See Also

CWE-287 - Improper Authentication

Non-Compliant Code Examples

import jwt

def insecure_verify(token):
    decoded = jwt.decode(token, verify=False)
    print decoded
    return True

import jwt

jwt.decode(encoded, options={"verify_signature": False})

Compliant Code Examples

import jwt

jwt.decode(encoded, bla={"verify_signature": False})

jwt.decode(encoded, options={"foobar": False})

import jwt

jwt.decode(encoded, options={"verify_signature": True})

jwt.decode(encoded, options={"verify_signature": False})