2016-07-28 112 views
0

我是JWT(Json Web令牌)的新手。我在智威湯遜有一個問題,那就是使用令牌(已經登錄過一次)和帶有令牌(首次登錄)來識別用戶。如何檢查用戶是否已經分配了JWT令牌?

會這樣,如果我在登錄和服務器的每一次會爲我創造新的JWT只傳遞用戶名和密碼?如果這是真的比是不是會受到用戶如果有一個人可以訪問他/她的用戶名密碼,並嘗試用不同的電腦或瀏覽器登錄。

回答

0

(如智威湯遜總是在餅乾或本地存儲存儲)在您的模式之後,如果攻擊者竊取用戶憑據(用戶名/密碼),那麼他可以在系統中登錄並獲取有效的JWT令牌。

如果攻擊者披肩的智威湯遜,也可以登錄在截止時間之前的系統,並使用所提供的服務(例如更改密碼如果可用)

然後,安全問題是:保護憑證並保護令牌。

  • 主要使用HTTPS
  • 設置過期時間短和旋轉令牌
  • 使用「安全」儲存令牌
  • 注意,更改密碼或者權限可能失效過期時間之前的令牌。也許你需要一個黑名單
相關問題