【发布时间】:2017-10-01 04:38:52
【问题描述】:
我找到了下面的文章和代码
https://coderwall.com/p/8wrxfw/goodbye-php-sessions-hello-json-web-tokens
If the token has been tampered with then $token will be empty there will not be an id available. The JWT class makes sure that invalid data is never made available. If the token is tampered with, it will be unusable. 是什么意思。 ?是否有一些技术,如果 smbd else 读取令牌,它就会改变???
使用令牌比使用会话更好吗?
已经意识到
(1) 如果服务器在隐藏字段中发送一些密钥,
这由所有者 javascript 及时更改,并且在 ajax 调用、重定向或发布的情况下,根据密钥中存在的时间签名和计数器等其他参数使用某些规则,
(2) 那么服务器不期望密钥相同,
但 approx 可以通过拍号和其他一些定义的参数来猜测值,
(3) 因此,如果它得到相同的密钥,则意味着黑客正在发送密钥:
jwt token是一个token,它的威力是不能改变它,任何改变都会破坏token。
但黑客通常不会更改密钥,他们会尝试识别并发送相同的 .因此,安全密钥是随时间变化的密钥。
开始实现一个并写一些文章。
你知道这种类型的安全吗?
【问题讨论】:
-
medium.com/myplanet-musings/… - 这解释了许多目的,但我仍然不明白`如果你篡改它将是空的`是什么意思以及这是如何实现的?
-
是否可以制作一种javascript,检测其他javascript是否读取数据,从而破坏隐藏字段中的令牌?
-
看来我必须使用 beforeunload 和 unload 事件,developer.mozilla.org/en-US/docs/Web/Events/beforeunload
标签: php session json-web-token