【发布时间】:2023-01-11 05:05:48
【问题描述】:
我知道 JWT 可用于对用户进行身份验证,但似乎没有太多关于如何保护前端和后端 api 之间的连接以确保该网站不是用于引诱用户和窃取他们的信誉的虚假复制品的可用信息。
也许我只是没有正确地措辞我的搜索或理解主题,但你如何确保尝试连接到你的 API 后端的客户端被授权并拒绝,即使它不是,即使使用了正确的信用?这是给智威汤逊的。
我知道可以使用 API 密钥保护它,但这个问题特定于 JWT。
【问题讨论】:
我知道 JWT 可用于对用户进行身份验证,但似乎没有太多关于如何保护前端和后端 api 之间的连接以确保该网站不是用于引诱用户和窃取他们的信誉的虚假复制品的可用信息。
也许我只是没有正确地措辞我的搜索或理解主题,但你如何确保尝试连接到你的 API 后端的客户端被授权并拒绝,即使它不是,即使使用了正确的信用?这是给智威汤逊的。
我知道可以使用 API 密钥保护它,但这个问题特定于 JWT。
【问题讨论】:
对于社会工程学攻击,您无能为力。如果数据是敏感的,那么定期向用户发出警告,告诉他们人们可能会如何尝试用虚假网站欺骗他们是相当普遍的。
维基百科列出了许多可用于customise the UI 的技术,使用户更容易识别他们在正确的站点上。
2 factor authentication 也可以提供帮助。虽然不正确的凭据可能会导致令牌被传递给攻击者(允许他们访问该站点),但它会在您设置的任何时间限制后过期,他们将需要刷新它或无法重复使用密码(因为他们不会有新的 2FA 代码)。
您还可以监控来自同一 IP 地址的大量不同用户的登录。
【讨论】: