0
我是JWT(Json Web令牌)的新手。我在智威汤逊有一个问题,那就是使用令牌(已经登录过一次)和带有令牌(首次登录)来识别用户。如何检查用户是否已经分配了JWT令牌?
会这样,如果我在登录和服务器的每一次会为我创造新的JWT只传递用户名和密码?如果这是真的比是不是会受到用户如果有一个人可以访问他/她的用户名密码,并尝试用不同的电脑或浏览器登录。
A
回答
0
(如智威汤逊总是在饼干或本地存储存储)在您的模式之后,如果攻击者窃取用户凭据(用户名/密码),那么他可以在系统中登录并获取有效的JWT令牌。
如果攻击者披肩的智威汤逊,也可以登录在截止时间之前的系统,并使用所提供的服务(例如更改密码如果可用)
然后,安全问题是:保护凭证并保护令牌。
- 主要使用HTTPS
- 设置过期时间短和旋转令牌
- 使用“安全”储存令牌
- 注意,更改密码或者权限可能失效过期时间之前的令牌。也许你需要一个黑名单
相关问题
- 1. 检查用户是否在Django Restframework中被分配了令牌
- 2. 如何检查用户是否已经评论了
- 3. 如何在使用jwt令牌时检测用户(Slim-jwt-auth)
- 4. 检查用户是否已经登录?
- 5. 检查令牌已经取代
- 6. 如何检查用户是否被分配了url?
- 7. 如何检查用户是否已经登录?
- 8. 如何检查用户是否已经登录?
- 9. Django:如何检查用户是否已经投票ManyToManyField?
- 10. 如何检查CAKeyframeAnimation是否已经清除了关键帧?
- 11. 如何检查是否已经过去了C++
- 12. 已过期JWT令牌 - 如何刷新令牌
- 13. 使用jwt检查令牌是有效还是无效
- 14. 检查指针是否已分配
- 15. 如何使用passport-jwt正确检查令牌载荷?
- 16. jwt令牌多租户
- 17. JWT令牌撤销是否值得?
- 18. 检查Attribut是否已经使用了相同的值
- 19. JWT令牌如何工作?
- 20. 如何从JWT令牌
- 21. 用MySQLi检查用户名是否已经存在
- 22. 检查用户是否已经使用System.DirectoryServices.AccountManagemen登录到域
- 23. Laravel使用tymondesigns检查一个jwt令牌是否过期或无效
- 24. 检查用户令牌是否有效使用Twitter Api
- 25. 检查是否用户已经选择了另一个注释在地图
- 26. pendingIntent getBroadcast:检查用户是否已经点击了状态栏通知
- 27. Mysql加入两个表来检查用户是否已经选择了
- 28. 找不到方法来检查用户是否已经存在
- 29. 检查用户是否已经投票在后,在模板
- 30. 地理围栏 - 检查用户是否已经进入围栏