我是JWT(Json网络令牌)的新手 . 我在JWT中有一个问题,即识别带有令牌的用户(已经登录一次)和带有令牌(第一次登录) .
如果我每次登录时只传递用户名和密码,服务器会为我创建新的JWT,是不是这样?如果这是真的,那么如果有人访问他/她的用户名密码并尝试使用不同的PC或浏览器登录,那么它对用户是不容易的(因为JWT总是存储在cookie或本地存储上)
根据您的架构,如果攻击者窃取用户凭据(用户名/密码),那么,他可以登录系统并获得有效的JWT令牌 .
如果攻击者窃取了JWT,也可以在到期时间之前登录系统,并使用提供的服务(例如更改密码,如果可用)
然后安全问题是: protect the credentials and protect the token.
主要使用HTTPS
设置过期时间短并旋转令牌
使用"secure"存储空间来存储令牌
请注意,更改密码或权限可能会在到期时间之前使令牌失效 . 也许你需要一个黑名单
1 回答
根据您的架构,如果攻击者窃取用户凭据(用户名/密码),那么,他可以登录系统并获得有效的JWT令牌 .
如果攻击者窃取了JWT,也可以在到期时间之前登录系统,并使用提供的服务(例如更改密码,如果可用)
然后安全问题是: protect the credentials and protect the token.
主要使用HTTPS
设置过期时间短并旋转令牌
使用"secure"存储空间来存储令牌
请注意,更改密码或权限可能会在到期时间之前使令牌失效 . 也许你需要一个黑名单