0
我是JWT(Json Web令牌)的新手。我在智威汤逊有一个问题,那就是使用令牌(已经登录过一次)和带有令牌(首次登录)来识别用户。如何检查用户是否已经分配了JWT令牌?
会这样,如果我在登录和服务器的每一次会为我创造新的JWT只传递用户名和密码?如果这是真的比是不是会受到用户如果有一个人可以访问他/她的用户名密码,并尝试用不同的电脑或浏览器登录。
我是JWT(Json Web令牌)的新手。我在智威汤逊有一个问题,那就是使用令牌(已经登录过一次)和带有令牌(首次登录)来识别用户。如何检查用户是否已经分配了JWT令牌?
会这样,如果我在登录和服务器的每一次会为我创造新的JWT只传递用户名和密码?如果这是真的比是不是会受到用户如果有一个人可以访问他/她的用户名密码,并尝试用不同的电脑或浏览器登录。
(如智威汤逊总是在饼干或本地存储存储)在您的模式之后,如果攻击者窃取用户凭据(用户名/密码),那么他可以在系统中登录并获取有效的JWT令牌。
如果攻击者披肩的智威汤逊,也可以登录在截止时间之前的系统,并使用所提供的服务(例如更改密码如果可用)
然后,安全问题是:保护凭证并保护令牌。