0
我已經實施基於JWT
的認證系統以滿足API使用要求之一。這意味着,如果用戶想訪問任何REST Api
,那麼將使用JWT令牌來傳遞API。步驟如下:JWT(JSON Web令牌)跨用戶/應用程序使用風險
- 用戶將調用
/Authenticate
方法傳遞用戶名/密碼。 - 系統將驗證用戶並在響應中返回JWT令牌和超時。
- 現在,用戶將在請求標頭中調用
/Employee/Get
API方法以及JWT標記。例如。授權:持票人{令牌} - 事情工作得很好。
現在的問題是,一旦生成令牌,任何用戶都可以通過捕獲網絡請求/通過任何工具,它可以讀取在網絡系統中的請求/響應抓住令牌。
這意味着,如果我已經產生了JWT token
用戶標記,然後通過抓住相同的土氣,其他一些用戶可以通過同樣的標題,並且可以訪問我的/員工/獲取 API方法。
現在,令牌將被驗證,因爲它是從同一個系統生成的,系統不知道用戶,它只知道JWT令牌。
我該如何確保其他用戶不能使用相同的令牌或者即使他們傳遞了相同的令牌,我的系統也應拒絕該請求。我如何使它安全?
在此先感謝!
即使它被保存在localStorage的或餅乾,它必須需要在每個子隨後的請求傳遞。對?所以任何人通過修改請求獲得令牌,然後他們還可以通過在Authorization頭中傳遞相同的令牌來訪問進一步的API調用。那麼,我將如何限制該OR令其安全? –
是的,需要在每個請求中發送令牌,通常在授權標頭中。您需要設置SSL/TLS通道(https),然後在客戶端和服務器之間發送的所有數據都將被加密,並且任何人都無法獲得令牌嗅探網絡通信 – pedrofb