我想使用 jwt 令牌向我的应用程序添加身份验证。
每次向服务器发送请求时,我都会附加服务器创建的令牌。
我受伤了,这是在标头中发送令牌的安全方式吗?如果有人访问我的计算机并在 devtools 选项卡中检查我的网络并查看我的令牌,他可以使用令牌模拟请求并控制用户数据。
这是常见的情况吗?以及窃取和破解 jwt 令牌的方法?
【问题讨论】:
标签: javascript
这就是它应该发生的方式。在 JWT 令牌身份验证中,服务器提供的令牌应始终作为具有 Authorization: Bearer <token> 格式的标头发送。
然后网站应该在请求到来时检查令牌的有效性并相应地处理它。
编辑
是的,必须使用 HTTPS。如果有人掌握了您的计算机,那么他们可以使用令牌来冒充用户。令牌的好处是它们大多是短暂的,这意味着它们很快就会过期。因此停止使用它们,需要重新认证。
【讨论】:
是的,通过标头发送是安全的,即使没有 https
如果有人访问我的计算机并在 devtools 选项卡中检查我的网络并查看我的令牌怎么办
在这种情况下,他还可以偷你的钱包、信用卡、汽车、房子、妻子等。你明白了,如果有人可以直接访问 - 游戏结束
您将 JWT 与 Bearer 混合在一起,它们是不同的
【讨论】:
是的,将令牌附加到标头是很常见的。它看起来像这样:
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
当然有人可以进入您的计算机并检查令牌。但是通常您的计算机也需要某种身份验证才能登录。手机也是如此,几乎每个人都有某种密码。
存储令牌的好方法是 httpOnly cookie。使用此标志,javascript 无法读取客户端的 cookie。这使得 XSS 攻击更难获得令牌。
关于 JWT 的问题是它们有一个过期日期,并且它们在到达日期之前都是有效的。假设您登录网页并获得一些令牌。现在有人偷了你的令牌。您注销并从您的设备中删除令牌。
现在的问题是令牌被盗并且仍然有效,因此攻击者可以使用它。
此时,攻击者在技术上就是你,因为他拥有包含保存数据的令牌。
您可以在此处创建一个黑名单。如果您注销,则将您的令牌放入黑名单。每当有人尝试访问需要令牌的东西时,您首先检查该令牌是否在黑名单内,如果是则拒绝请求。
对于黑名单,我建议使用像 redis 这样的缓存来快速访问。
【讨论】:
eyJ开始
令牌是一个短暂的密钥。任何有权访问令牌的人都可以访问该密钥解锁的任何内容。感觉不安全,但这是使用令牌的基本属性。您使用 HTTPS 对数据进行加密,使其无法一路读取,但人们总有办法获取令牌。
在易用性和安全性之间经常需要权衡取舍。人们已经接受了与使用令牌进行身份验证相关的风险。需要明确的是,任何存储密钥的身份验证方法都有这个问题;唯一真正的选择是为每个请求询问密码,但没有人有时间这样做。
【讨论】: