Skip to content

JWT x PASETO

REST API

Perbandingan 2 metode Stateless Authentication yaitu Json Web Token (JWT) dan Platform Agnostic Security Tokens (PASETO) dilihat dari segi performa dan keamanannya.

Penelitian ini bertujuan untuk membandingkan performa dan keamanan antara Json Web Token (JWT) dan Platform Agnostic Security Tokens (PASETO) pada RESTful API. Performa diukur melalui parameter waktu pembangkitan token, jumlah token, dan waktu transfer token, sedangkan keamanan diukur melalui tiga kerentanan teratas API OWASP 2019 dan pengujian CSRF attack pada token.

Judul penelitian

Perbandingan Performa dan Keamanan Json Web Token (JWT) dan Platform Agnostic Security Tokens (PASETO) pada RESTful API.

Implementasi

Dalam pengujian performa yang di uji sebanyak 50 sampel, hasil menunjukkan bahwa rata-rata waktu pembangkitan token JWT adalah 0.5068 ms dan PASETO 2.4044 ms. Rata-rata waktu transfer token JWT adalah 95.4604 ms dan PASETO 190.4344 ms. Hasil uji T mengkonfirmasi adanya perbedaan signifikan antara waktu pembangkitan token dan waktu transfer token pada JWT dan PASETO. Selain itu, jumlah token PASETO yang dihasilkan juga lebih banyak yaitu 320 token dibandingkan JWT yaitu 186 token. Pada pengujian keamanan, token JWT terbukti aman dari serangan API OWASP 2019, seperti Broken Object Level Authorization dan Excessive Data Exposure, namun tidak aman dari serangan Broken User Authentication. Di sisi lain, token PASETO terbukti aman dari ketiga serangan tersebut. Namun, token JWT maupun PASETO tidak aman dari serangan CSRF Cookie. Berdasarkan hasil penelitian ini, dapat disimpulkan bahwa PASETO memiliki waktu pembangkitan token dan waktu transfer yang lebih lama dibandingkan dengan JWT. Namun, PASETO menunjukkan keamanan yang lebih baik dibandingkan dengan JWT, karena dapat melindungi dari tiga serangan teratas API OWASP 2019. Oleh karena itu, pemilihan antara JWT dan PASETO harus didasarkan pada kebutuhan spesifik dalam pengembangan aplikasi.

Berikut ini adalah gambar rancangan DFD Level 1 untuk sistem yang dibangun.

DFD Level 1

Tangkapan Layar

  1. Token JWT yang di decoding
    Decoded token

  2. Menjalankan salah satu skenario pengujian
    Pengujian

  3. Menjalankan salah satu skenario penyerangan (intercept)
    Penyerangan

Peneliti

  • Adiva Fiqri Nugraha

Supervisor

  • Herman Kabetta
  • I Komang Setia Buana
  • R. Budiarto Hadiprakoso

Publikasi

A. F. Nugraha, H. Kabetta, I. K. S. Buana and R. B. Hadiprakoso, "Performance and Security Comparison of Json Web Tokens (JWT) and Platform Agnostic Security Tokens (PASETO) on RESTful APIs," 2023 IEEE International Conference on Cryptography, Informatics, and Cybersecurity (ICoCICs), Bogor, Indonesia, 2023, pp. 15-22, doi: 10.1109/ICoCICs58778.2023.10277377