0
我是JWT(Json Web令牌)的新手。我在智威湯遜有一個問題,那就是使用令牌(已經登錄過一次)和帶有令牌(首次登錄)來識別用戶。如何檢查用戶是否已經分配了JWT令牌?
會這樣,如果我在登錄和服務器的每一次會爲我創造新的JWT只傳遞用戶名和密碼?如果這是真的比是不是會受到用戶如果有一個人可以訪問他/她的用戶名密碼,並嘗試用不同的電腦或瀏覽器登錄。
我是JWT(Json Web令牌)的新手。我在智威湯遜有一個問題,那就是使用令牌(已經登錄過一次)和帶有令牌(首次登錄)來識別用戶。如何檢查用戶是否已經分配了JWT令牌?
會這樣,如果我在登錄和服務器的每一次會爲我創造新的JWT只傳遞用戶名和密碼?如果這是真的比是不是會受到用戶如果有一個人可以訪問他/她的用戶名密碼,並嘗試用不同的電腦或瀏覽器登錄。
(如智威湯遜總是在餅乾或本地存儲存儲)在您的模式之後,如果攻擊者竊取用戶憑據(用戶名/密碼),那麼他可以在系統中登錄並獲取有效的JWT令牌。
如果攻擊者披肩的智威湯遜,也可以登錄在截止時間之前的系統,並使用所提供的服務(例如更改密碼如果可用)
然後,安全問題是:保護憑證並保護令牌。