Hel*_*ate 5 ssl jwt difference
我一直在阅读并试图理解浏览器端安全性的差异。据我所知,SSL用于阻止人们嗅探您发送到服务器的流量。这使您可以将密码以明文形式发送到服务器...对吗?只要您处于SSL加密会话中,就不必担心首先对密码进行哈希处理或任何奇怪的事情,只需将其与用户名一起直接发送到服务器即可。在用户验证之后,您将它们发送回JWT,然后所有将来对服务器的请求都应包括此JWT,前提是他们正在尝试访问安全区域。这使服务器甚至不必检查密码,服务器所做的只是验证签名,而这正是服务器所关心的。只要签名被验证,您就可以向客户端提供他们所请求的任何信息。我错过了什么吗?
你是对的。“这使服务器甚至不必检查密码。” 为什么每次请求都要检查密码?
JWT 是一种验证身份验证的方法。它是在成功的身份验证请求后生成的,因此与每个请求一起传递,让服务器知道此用户已通过身份验证。
它可用于存储任意值,例如user_id或api_key但它们不是很安全,因此不要在此处存储任何有价值的信息。
不过要小心,如果一个普通的 JWT 被第三方拦截,它可以假设这个用户的会话和可能的数据。
SSL 是一种较低级别的安全形式,它对来自和发送到服务器的每个请求进行加密,以防止拦截并保持完整性。SSL 是通过(购买)SSL 证书并将其安装在您的服务器上来实现的。基本上,SSL 证书是一个将加密密钥绑定到“组织”的小数据文件。一旦安装成功,HTTPS 请求(默认在 443 端口上)是可能的。
| 归档时间: |
|
| 查看次数: |
2738 次 |
| 最近记录: |