我決定實現基於json web令牌的安全性,但我有一個問題。比方說,我有一個用戶湯姆,他向我的服務器發出請求。作爲迴應,他將獲得jwt令牌。隨後所有來自Tom的請求都將包含此jwt。有人可能會用wirehark或其他東西來抓住他的jwt,並代表湯姆在他不知情的情況下提出請求嗎?從服務器jper將是有效的用jwt可以嗎?
Q
用jwt可以嗎?
0
A
回答
1
是的,這是可能的。它被稱爲「重放攻擊」。 HTTPS使得它很難做到,但即使使用HTTPS,它仍然是可能的。相關討論可以在這裏找到https://stackoverflow.com/a/2770200/43848
1
是的,它是可行的。任何有JWT的人都可以模仿湯姆。使用https來避免攻擊者可以從互換的消息中捕獲令牌並將令牌保存在安全存儲中
相關問題
- 1. JWT可以用於不同的AngularJS應用程序嗎?
- 2. Spring Security OAuth - 它可以使用來自Keycloak的JWT令牌嗎
- 3. 可以創建手動刷新JWT的端點嗎?
- 4. JWT(json web token)可以完全替代Session嗎?
- 5. 您可以使用express-jwt簽署代幣,因爲它似乎主要關注JWT的驗證嗎?
- 6. 可以用()嗎?
- 7. 我可以使用Web App的私鑰證書來簽署JWT嗎?
- 8. 我需要驗證jwt嗎?
- 9. 如果使用JWT,我需要CSRF嗎?
- 10. 可以驗證用戶嗎?他們可以有用戶名嗎?
- 11. 我可以爲cookies定義一個時間範圍,如JWT「nbf」和「exp」嗎?
- 12. 可以ServiceStack驗證JWT開箱即用的
- 13. 可以使用LISTAGG嗎?
- 14. 使用__doPostBack()可以嗎?
- 15. mclapply可以使用CompressedRleList嗎?
- 16. 可以調用[super loadView]嗎?
- 17. Magento可以禁用Cookie嗎?
- 18. SVD可以使用Skydrive嗎?
- 19. mod_callcenter可以使用mod_sms嗎?
- 20. PhysFS可以使用ifstreams嗎?
- 21. SAP可以使用Python嗎?
- 22. Dropbox可以使用它嗎?
- 23. 可以調用printf()塊嗎?
- 24. mootools.js可以使用microsoftajax.js嗎?
- 25. Pixate可以使用UIAlertView嗎?
- 26. 可以使用JAXX嗎?
- 27. 我可以用藍牙嗎?
- 28. 我可以不用KVO嗎?
- 29. phantomjs可以使用node.js嗎?
- 30. Arcgis可以用於android嗎?