【发布时间】:2021-10-30 02:00:21
【问题描述】:
我们在我们的 Rest API(Bank API) 身份验证中使用 JWT 令牌和正常的有效负载,例如:
{
"user_id": "cdda338f-50e2-4e14-9f84-33b8a158db9f",
"tenant_id": "cdda338f-50e2-4e14-9f84-33b8a158db9e",
// other jwt claims
}
但是安全团队认为这是不安全的,我们应该用非直观的值替换字段名称,对于每个应用程序环境(prd、qas、dev)都不同,如下所示:
{
// would be user id, the key would be passed by an env var
"4234e798fdeikfj": "cdda338f-50e2-4e14-9f84-33b8a158db9f",
// would be tenant id, the key would be passed by an env var
"dkfgldsjf49385r": "cdda338f-50e2-4e14-9f84-33b8a158db9e",
// other jwt claims
}
那么应用程序必须这样做:
import TENANT_KEY from 'my-env-vars';
const tenantId = token[TENANT_KEY];
对我来说,这似乎是不必要的复杂性,因为我们不应该担心我们的令牌被用户读取,因为它不包含敏感信息。掩盖 api 端点(将 /tenants/{id} 替换为 /dfkjsdfkjdsf/{id})几乎没有意义。我认为如果正确实施身份验证,攻击者将无法利用直观的 API。
由于我找不到任何关于它的文章,我想知道是否有有效的案例,如果它被大公司或你自己使用,可能的好处是什么以及是否有更好的选择(JWE ?)。
如果你能指出一些关于这个主题的好文章,我也将不胜感激。
【问题讨论】:
-
这是一个很好的问题,但我建议将其移至security.stackexchange.com,这样会更符合主题。
-
Here 是 security.stackexchange 上问题的链接