【发布时间】:2016-02-11 06:51:39
【问题描述】:
是否有理由不使用JSON Web Token 进行邮件验证?
我将使用用户邮件和过期时间创建令牌,然后在用户单击链接时检查令牌。这样我就不必将令牌存储在数据库中。
但我想知道攻击者是否可以提取密钥,因为他可以控制邮件输入并估计令牌中的到期时间?
【问题讨论】:
【发布时间】:2016-02-11 06:51:39
【问题描述】:
我一直在考虑这个问题,我个人认为使用 JWT 验证用户的电子邮件地址没有任何漏洞,但我担心的是用户是否更改了他们的电子邮件地址,并且令牌有没有过期,如果用户重新使用旧的令牌会发生什么,它会验证新的电子邮件地址吗?
嗯,看来您必须正确计划,但我认为安全方面没有问题。玩得开心!
【讨论】:
-
根据stormpath.com/blog/token-auth-spa,“使用仅对身份验证服务可用的强密钥签署您的令牌。每次您使用令牌对用户进行身份验证时,您的服务器必须验证该令牌是用你的密钥签名。”您有多确定将 jwt 作为电子邮件激活 url 是安全的?
-
@momokjaaaaa 你总是可以使用不同的密钥签署非基于身份验证的令牌。我还是建议这样做。
-
@momokjaaaaa 并且在此之上,令牌没有携带真正重要的有效负载,JWT 暴露于本地存储,并且通常通过标头和 URL 传递。我认为只要你有 HTTPS 连接,应该没问题 imo :/