【发布时间】:2021-09-17 18:27:05
【问题描述】:
我有一个关于 JWT 安全方面的问题。 考虑使用 JWT 作为其网关中的安全性的 X 应用程序。并且此令牌从原点开始有效期为 3 分钟。
所以场景如下:
X 应用程序在 UI 端登录。因此,UI 调用必须首先转到网关并获取创建的 JWT 令牌。因此响应发送回 UI。因此,来自 UI 的进一步请求将使用 JWT 令牌发送到服务层。这次网关验证请求标头中保存的令牌。它允许进一步到服务层。
这首先发生在令牌的第一分钟,因此通过简单地做开发工具,我们可以找到暴露在 UI 中的 JWT 令牌。
现在任何拥有 API 服务 URL 的人都可以使用这个 JWT 令牌并访问我们的 API 服务,对吧?不是安全问题吗。 ?或者有什么办法解决这个问题?
【问题讨论】:
-
为什么会是个问题?如果需要,为什么不向安全层添加更多详细信息(例如验证与令牌关联的 IP 地址)
-
我不能。它是一个开放的应用程序,全球各地都可以访问我的应用程序。 JWT 适合这里吗?
标签: api security user-interface jwt websecurity