好吧,我開發一個角2應用程序。我已經添加了auth0認證,但對我來說,它會非常不安全地處理會話。 jwt令牌未加密並保存在localStorage內。這些索賠對任何人都是可見的,他們可以很容易地解碼和揭示。更何況,Web存儲本身並不是一個安全的地方。爲什麼我可以輕鬆解碼jwt.io上的auth0 id_token?
我選擇了JWTs因爲後來我想要改造這個Web應用程序與電子桌面應用程序,所以我不能使用cookie的會話。我的用戶將有更多的信息,比如角色,我不想查找在DB在每次請求,這就是爲什麼我想將它們存儲在智威湯遜。加密數據是有道理的,但auth0似乎不提供該功能。
如果像角色要求存儲在localStorage的保護,是什麼阻止我去Firefox的控制檯,更改令牌,例如讓自己成爲管理員?
感謝澄清,似乎我完全不明白jwts。 –
沒問題,你的問題有道理 – pedrofb
現在等一下。攻擊者改變jwt內容的唯一方法就是現在祕密密鑰。但是如果他有權使用這個標記,他會喜歡蠻橫嗎?獲得一臺超級計算機,在一秒鐘內生成40k祕密並破解它? –