为无状态 JWT 身份验证添加安全性

【问题标题】:add security to stateless JWT authentication为无状态 JWT 身份验证添加安全性
【发布时间】:2019-04-18 14:13:56
【问题描述】:

我已经实现了一个无状态服务器,我使用 JWT 让用户访问 API。我在这里关心的是安全性。之前有同样的问题,但没有得到很好的回答: JWT, Stateless Authentication, and Security

问题:使用 JWE(加密令牌)等因素或使用强机密对令牌进行签名 &... 可以使程序更安全,但如果我们实施的所有安全措施都只取决于密钥呢

如果密钥被盗怎么办? 那么无论我们使用多少安全层,黑客都可以使用密钥制作一个有效的令牌并访问所有 API。有什么解决方案可以让它更安全吗?

【问题讨论】:

    标签: php security jwt backend


    【解决方案1】:

    如果您生成令牌的密钥被泄露,只需更改它。这将使之前创建的所有 JWT 令牌失效。

    【讨论】:

    • 我必须如何知道我的钥匙被盗了?它可能会像以前一样再次受到损害:)
    • 如果托管您的应用程序的系统如此妥协,JWT 令牌可能不是您首先担心的 :)
    • 但这不是我的答案 btw :)
    • 但是您希望得到什么答案?即使在最安全的地方,如果你经常丢失钥匙,你也别无选择,只能换锁^^
    • 例如,Google 使用多个键。哪个实际上用于签署令牌?你不知道,你也不在乎。重要的是在您知道密钥已被盗用或经过一段时间(例如 2 周)后更改密钥。
    猜你喜欢
    • 2020-10-19
    • 1970-01-01
    • 2014-04-30
    • 2015-09-15
    • 1970-01-01
    • 1970-01-01
    • 2021-06-05
    • 2017-09-22
    • 2012-10-02
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode