我决定实现基于json web令牌的安全性,但我有一个问题。比方说,我有一个用户汤姆,他向我的服务器发出请求。作为回应,他将获得jwt令牌。随后所有来自Tom的请求都将包含此jwt。有人可能会用wirehark或其他东西来抓住他的jwt,并代表汤姆在他不知情的情况下提出请求吗?从服务器jper将是有效的用jwt可以吗?
Q
用jwt可以吗?
0
A
回答
1
是的,这是可能的。它被称为“重放攻击”。 HTTPS使得它很难做到,但即使使用HTTPS,它仍然是可能的。相关讨论可以在这里找到https://stackoverflow.com/a/2770200/43848
1
是的,它是可行的。任何有JWT的人都可以模仿汤姆。使用https来避免攻击者可以从互换的消息中捕获令牌并将令牌保存在安全存储中
相关问题
- 1. JWT(json web token)可以完全替代Session吗?
- 2. 可以用()吗?
- 3. 我需要验证jwt吗?
- 4. 我可以为cookies定义一个时间范围,如JWT“nbf”和“exp”吗?
- 5. 可以使用LISTAGG吗?
- 6. ELMAH可以使用Oracle.ManagedDataAccess吗?
- 7. 可以调用printf()块吗?
- 8. 使用Ruby 1.8.5可以吗?
- 9. mootools.js可以使用microsoftajax.js吗?
- 10. UIAutomation可以用于CI吗?
- 11. UIMoviePlayerController ...可以使用它吗?
- 12. CGMainDisplayID()可以用于iOS吗?
- 13. SVD可以使用Skydrive吗?
- 14. 我可以不用KVO吗?
- 15. 可以使用JAXX吗?
- 16. iMac可以使用CLLocationManager吗?
- 17. 使用__doPostBack()可以吗?
- 18. Arcgis可以用于android吗?
- 19. Magento - 可以禁用Mage_Downloadable吗?
- 20. Swagger可以用于SOAP吗?
- 21. VS2010可以使用VisualStudio.com吗?
- 22. 可以用batman.js和express吗?
- 23. 我可以用蓝牙吗?
- 24. SAP可以使用Python吗?
- 25. 可以使用GoTo吗?
- 26. 我可以使用PayPal吗?
- 27. web2py可以使用svn吗?
- 28. 我可以只用ffmpeg吗?
- 29. 可以调用[super loadView]吗?
- 30. 可以使用Cassandra Collections吗?