如果有人嗅探网络并使用令牌从我的REST捕获我的整个请求怎么办?
JWT是身份验证令牌,因此他可以模拟用户。
此人可以再次发送相同的数据包和Impact,不会有任何问题吧?
相同的数据包或任何其他数据包,因为如果具有身份验证令牌。就像用户丢失了您的用户名/密码一样
当然,他不会知道该数据包来自哪个用户,但无论如何他可能会影响吗?
是的,他可以知道用户,也可以只对令牌的“ sub”字段进行解码。RFC中定义的此字段标识作为JWT主题的主体。攻击者可以使用您自己的api获取或修改其有权访问的任何信息
这可能吗?如何解决这种情况?
主要使用HTTPS来避免中间人并使令牌保密。还设置到期并定期更新令牌
| 归档时间: |
|
| 查看次数: |
1395 次 |
| 最近记录: |