那些遇到过的问题

JSON Web令牌(JWT)

ike*_*8me 4 gwt jwt jersey-2.0 json-web-token jjwt

我有一个关于JSON Web Token(JWT)的一般问题.

如果通过黑客攻击或物理访问从客户端窃取JWT(例如,它被存储为cookie或应用程序的数据库),它可以用于发送到服务器,服务器将认为它是合法用户.它是否正确?

是否有任何通用或标准的做法来防范这种情况,例如,通过从客户端一起发送设备/浏览器类型或一些参考代码,服务器检查它是否与生成和存储JWT令牌的其他数据相匹配.(但是,我读到标准的做法是不在服务器上存储任何东西.)

请告知我需要实现Java JWT(JJWT),RESTful Java Jersey和Google Web Toolkit.(我一直在阅读这样的文档:[ https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-web-storage]).

谢谢!

ped*_*ofb 8

拥有JWT是身份验证的证明.窃取令牌的攻击者可以冒充用户.

所以,保持令牌安全:

  • 使用TLS频道
  • 根据存储类型添加额外的安全措施.Cookie容易受到CSRF攻击.如果您不需要从javascript访问令牌,请使用HttpOnly.LocalStorage容易受到XSS攻击
  • 在身份验证令牌上设置较短的到期时间,并在令牌过期时需要凭据

黑名单没有用,因为你不知道JWT被盗了.它的使用打破了状态,这是JWT的优势之一

另外可以添加IP令牌,但考虑使用场景,因为它可能在代理后面的移动设备或系统上存在问题

归档时间:

查看次数:

1071 次

最近记录:

8 年,10 月 前
相关归档
下一个身份验证 JWEDecryptionFailed 29
在客户端刷新GWT应用程序 12
泽西岛2.6与杰克逊JSON反序列化 12
如何在UiBinder中向GUI Web Toolkit flextable添加行? 7
基于JWT的<img>标签身份验证? 7
npm 模块 jsonwebtoken 和 jwt-simple 之间有什么区别? 6
如何使用 Simple JWT (django rest) 将 JWT 令牌列入黑名单? 5
解码根据GWT的序列化策略生成的*.gwt.rpc文件 4
Pdf.js的加载栏 4
登录后如何将用户重定向到基于 JWT 令牌的另一个页面? 2
难疑归档
如何迭代字符串的单词? 2895
如何按字典值对字典列表进行排序? 1722
从C#中的枚举中获取int值 1698
如何在Linux中更改echo的输出颜色 1582
从HTML页面重定向 1523
如何检查Bash中是否设置了变量? 1417
检查值是否是JavaScript中的对象 1194
将文本粘贴到vim时关闭自动缩进 1119
如何使用$ scope.$ watch和$ scope.$在AngularJS中申请? 1076
"静态"在C中意味着什么? 1062