JWT＆OAuth2 - 服務器是否存儲令牌？他們如何安全/黑客安全？

Question

當談到安全性，身份驗證策略時，我是一個完整的noob。所以，我正在讀這篇關於「基於令牌身份驗證」： https://scotch.io/tutorials/the-ins-and-outs-of-token-based-authentication

我有2個問題：

1. 我不明白爲什麼一箇中間人（或黑客）將無法看到該令牌是由客戶端發送的，並使用它來模擬客戶端/人員來檢索資源？是什麼讓JSON Web Tokens/OAuth2認證更安全？如果我們每次都使用一次性使用令牌，我會明白，即使黑客可以讀取令牌，他也無法將其用於其他請求。但是，由於令牌在到期之前保持不變，那麼這是一種更安全的認證策略？

2. 服務器如何知道客戶端發送的令牌是有效的，即服務器在登錄期間與客戶端交換的東西。服務器是否存儲了在數據庫或某個地方生成的令牌，並不斷更新「上次訪問的時間戳」或其他內容，並在last_accessed_time> 1小時前繼續刪除令牌，以便在停用1小時後保持過期？

Answer 1

我不明白爲什麼中間人（或黑客）無法看到客戶端發送的令牌，並使用相同的模擬客戶端/人來檢索資源？

智威湯遜並不能保護您免受中間人（MITM）攻擊。如果攻擊者獲得有效的令牌，可以有效地冒充。即使內容被加密。

JWT應該用SSL/TLS連接可以用來避免MITM

使基於JSON網絡令牌/認證的OAuth2在這個意義上更安全嗎？

JWT是一種令牌格式，而oauth2是一種協議。 oauth2可以使用jwt。 Oauth2對使用第三方站點的用戶比較安全，因爲憑證只能從用戶發送到主站點，然後站點發出令牌，第三方站點可以使用該令牌對用戶進行身份驗證。第三方網站永遠不會看到用戶憑據

但是，由於令牌保持不變，直到過期，那麼這是一種更安全的身份驗證策略？

閱讀上面。您需要保護您的令牌不被盜取：主要使用HTTPS或緩解其影響：使用HttpOnly存儲Cookie（如果您不需要訪問客戶端的JWT內容），設置過期時間短，旋轉令牌...

服務器如何知道客戶端發送的令牌是有效的，即一些服務器登錄過程中與客戶交換。

像hhhh.pppp.ssss這樣的JWT的第三部分是簽名。簽名是通過頭部和負載（hhhh.pppp）上的服務器私鑰執行的，用於保護內容。如果攻擊者更改內容或簽名，服務器將檢測到它驗證簽名並拒絕驗證。

是否在數據庫中生成的令牌或地方，並不斷更新「最後訪問的時間戳」什麼的服務器存儲，並保持取出令牌，其中last_accessed_time是>1小時前，保持1小時無活動後到期之？

這是不需要的。簽名包裝在令牌本身（ssss）中，因此據說JWT是自包含的

服務器具有密碼密鑰或密鑰對，公鑰和私鑰。令牌使用密鑰（用於HMAC對稱密鑰）進行簽名和驗證，或者使用私鑰簽名並使用相應的公鑰進行驗證（對於RSA非對稱密鑰）

Answer 2

這是關於簽署令牌的全部內容。不加密令牌。 服務器只驗證簽名。 JWT未加密（除非您實施它）。 不要將敏感數據存儲在令牌中，因爲默認情況下它未被加密。