Habr21h ago

Логин через Telegram по-новому: разбираем OIDC-флоу oauth.telegram.org и собираем его на Python

Telegram теперь полноценный OpenID-провайдер: oauth.telegram.org, JWKS, JWT, claims. Туториалы на GitHub при этом массово показывают старый виджет с HMAC от bot-token и /setdomain в BotFather. Я разобрался с новым флоу и собрал PoC на Python — рассказываю, как устроен обмен между фронтом, Telegram и бэком, чем Login library через telegram-login.js отличается от manual OIDC code flow с PKCE, что настраивать в BotFather (спойлер: не в чате, а в его mini-app), как протестировать локально через ngrok, и какая проверка id_token нужна вместо ручного HMAC.

https://habr.com/ru/articles/1033632/

#telegram #telegram_login #openid_connect #oidc #oauth2 #jwt #jwks #pyjwt #python #authentication

Логин через Telegram по-новому: разбираем OIDC-флоу oauth.telegram.org и собираем его на Python

Я пилил пет-проект — небольшой бэкенд на Litestar — и хотел прикрутить к нему логин через Telegram. Открыл первый попавшийся туториал на GitHub: HMAC от bot-token, /setdomain в BotFather, голые поля...

Хабр
damienbod21h ago

Blogged: Using configurable token lifetimes in Microsoft Entra ID, .NET and Microsoft Graph

https://damienbod.com/2026/05/11/using-configurable-token-lifetimes-in-microsoft-entra-id-net-and-microsoft-graph/

#graph #dotnet #entra #entraid #jwt #oauth #oidc #openidconnect

Using configurable token lifetimes in Microsoft Entra ID, .NET and Microsoft Graph

Configurable token lifetimes in the Microsoft identity platform went GA and I thought I would look at implementing this using a .NET console application using Microsoft Graph . This article looks a…

Software Engineering
HabrMay 3

Я устал от Duolingo и написал себе AI-репетитора. Go, Clean Architecture, 4 LLM-модели — и вот что из этого вышло

Мой рабочий день - это код. Вечером я хочу разговаривать с кем-то по-английски, а не нажимать на пингвинчиков. Duolingo учит меня заказывать яблоки, ChatGPT-чат отлично объясняет грамматику - но не помнит, что я разбирал Present Perfect в среду и опять путаю его с Past Simple в пятницу. Я хотел простую штуку: написать модели «давай сегодня про багтрекеры»; получить чат на 15 минут; а в конце - три новых слова , которые она же мне и подобрала по уровню B1. Чтобы завтра эти слова всплыли в упражнениях. Через месяц получился Lexis : Go · Clean Architecture · 4 LLM-модели · SSE-стриминг · JWT rotation + reuse detection MIT, открытый репозиторий. В статье - три инженерных якоря , которыми я доволен: Pluggable AI-провайдеры через интерфейс из трёх методов. SSE вместо WebSocket для стриминга AI-ответов. JWT rotation + reuse detection как production-ready стандарт, а не «потом перепишем». Плюс честный список того, что ещё не готово. Показать архитектуру

https://habr.com/ru/articles/1030928/

#Go #Clean_Architecture #JWT #AI #LLM #petproject #изучение_английского #SSE #modular_monolith #refresh_tokens

Я устал от Duolingo и написал себе AI-репетитора. Go, Clean Architecture, 4 LLM-модели — и вот что из этого вышло

Зачем вообще писать ещё одно приложение для изучения языка Мой рабочий день - это код. Вечером я хочу разговаривать с кем-то по-английски, а не нажимать на пингвинчиков. Duolingo учит меня заказывать...

Хабр
blue_hillsMay 3
Three concrete failure modes that take down OIDC in production: JWKS rotation drift, audience mismatch, OIDC config drift. The 5-line CI test that catches them.
https://jwtshield.com/blog/3-jwt-bugs-that-ship-to-prod-silently
#Jwt #Oidc #Devsecops
Three JWT bugs that ship to prod silently — and the 5-line CI test that catches them — JWTShield Blog

Three concrete failure modes that take down OIDC in production: JWKS rotation without overlap, wrong audience claims, and issuer config drift. Reproduction code, the one HTTP call that catches each, and the 5-line GitHub Actions step that runs the whole regression suite.

JWTShield
HabrApr 29

Почему ваша LLM-платформа — следующая цель: аудит безопасности AI-сервиса изнутри

Мы искали уязвимости в RAG-платформе с десятками тысяч пользователей — а нашли доступ ко всей инфраструктуре и API-ключам с бюджетом в сотни тысяч долларов. Две недели мы строили сложные цепочки: SSRF через LangChain, инъекции в промпты, HTTP smuggling, CVE в десериализации. Ни одна не дала результата. А потом мы сделали один curl к открытому порту — и получили все ключи за 5 минут. Эта статья — не гайд по взлому . Это разбор того, почему LLM-инфраструктура создаёт принципиально новые риски, какие ошибки мы раз за разом видим в AI-стартапах, и на что стоит обратить внимание, если вы строите что-то похожее.

https://habr.com/ru/articles/1029822/

#пентест #LLM #SSRF #JWT #Docker #LangChain #AI_Security #аудит_безопасности #RAG #APIключи

Почему ваша LLM-платформа — следующая цель: аудит безопасности AI-сервиса изнутри

Disclaimer : Всё описанное — результат санкционированного аудита безопасности по договору. Уязвимости ответственно раскрыты, ключи ротированы, домены и IP изменены. Статья — для понимания, не для...

Хабр
OffSequenceApr 25
🚨 CRITICAL: CVE-2026-6911 in AWS Ops Wheel — missing JWT signature checks allow unauth access & admin control over all tenants. Patch by redeploying from the updated repo! Details: https://radar.offseq.com/threat/cve-2026-6911-cwe-347-improper-verification-of-cry-0f0da004 #OffSeq #AWS #Vuln #JWT
Ruyynn | OSINT & PentestingApr 20

🔓 Weak JWT secrets are still happening in production in 2024.

If your target uses JWT, try:
1. Decode at jwt.io — check algo & claims
2. Change algo to "none" → send without signature
3. Brute force the secret using hashcat:

hashcat -a 0 -m 16500 <jwt> /wordlist

Tool: jwt_tool by ticarpi — supports many JWT attack vectors at once.

You'll be surprised how many still use the secret "password" or "secret123".

#jwt #webappsec #pentesting

lestrratApr 19

github.com/lestrrat-go/jwx/v4 released. It's Lighter, Faster, and is Post-Quantum ready (ML-DSA, ML-KEM, HPKE)

https://github.com/lestrrat-go/jwx/discussions/2040

Currently still requires GOEXPERIMENTAL=jsonv2. So still won't be prodding people to switch immediately, but this will be mainline from now.

#golang #jwt

Announcing github.com/lestrrat-go/jwx/v4 · lestrrat-go jwx · Discussion #2040

github.com/lestrrat-go/jwx/v4 is now released. After the preview period (#1673) and a final round of fixes, v4.0.0 is tagged and ready to use. v4 is a major release that rethinks how jwx is structu...

GitHub
Jobs for DevelopersApr 17

Contentful is hiring Security Engineer (Application Security)

🔧 #golang #javascript #python #aws #jwt #kubernetes #terraform #securityengineer
🌎 Atlanta, Georgia
⏰ Full-time
🏢 Contentful

Job details https://jobsfordevelopers.com/jobs/security-engineer-application-security-at-contentful-com-apr-6-2026-baadb6?utm_source=mastodon.world&utm_medium=social&utm_campaign=posting
#jobalert #jobsearch #hiring

Security Engineer (Application Security) at Contentful

Contentful is hiring Security Engineer (Application Security)

BenediktApr 16

I'm planning to do a lightning ⚡ talk tonight - To JWT or not to JWT - why JSON Web Tokens might not be the one size that fits all (in my opinion)

vote for me in the #DjangoCon Chat:
https://chat.djangocon.eu/#narrow/channel/16-Lightning-talks/topic/Thursday/near/913

#selfpromotion #django #jwt #security

DjangoCon Europe

April 15–19, 2026 | Athens, Greece | Five days of Django, Python, and community — all under the spring sunshine of Athens.

Zulip