我決定實現基於json web令牌的安全性,但我有一個問題。比方說,我有一個用戶湯姆,他向我的服務器發出請求。作爲迴應,他將獲得jwt令牌。隨後所有來自Tom的請求都將包含此jwt。有人可能會用wirehark或其他東西來抓住他的jwt,並代表湯姆在他不知情的情況下提出請求嗎?從服務器jper將是有效的用jwt可以嗎?
Q
用jwt可以嗎?
0
A
回答
1
是的,這是可能的。它被稱爲「重放攻擊」。 HTTPS使得它很難做到,但即使使用HTTPS,它仍然是可能的。相關討論可以在這裏找到https://stackoverflow.com/a/2770200/43848
1
是的,它是可行的。任何有JWT的人都可以模仿湯姆。使用https來避免攻擊者可以從互換的消息中捕獲令牌並將令牌保存在安全存儲中
相關問題
- 1. JWT(json web token)可以完全替代Session嗎?
- 2. 可以用()嗎?
- 3. 我需要驗證jwt嗎?
- 4. 我可以爲cookies定義一個時間範圍,如JWT「nbf」和「exp」嗎?
- 5. 可以使用LISTAGG嗎?
- 6. ELMAH可以使用Oracle.ManagedDataAccess嗎?
- 7. 可以調用printf()塊嗎?
- 8. 使用Ruby 1.8.5可以嗎?
- 9. mootools.js可以使用microsoftajax.js嗎?
- 10. UIAutomation可以用於CI嗎?
- 11. UIMoviePlayerController ...可以使用它嗎?
- 12. CGMainDisplayID()可以用於iOS嗎?
- 13. SVD可以使用Skydrive嗎?
- 14. 我可以不用KVO嗎?
- 15. 可以使用JAXX嗎?
- 16. iMac可以使用CLLocationManager嗎?
- 17. 使用__doPostBack()可以嗎?
- 18. Arcgis可以用於android嗎?
- 19. Magento - 可以禁用Mage_Downloadable嗎?
- 20. Swagger可以用於SOAP嗎?
- 21. VS2010可以使用VisualStudio.com嗎?
- 22. 可以用batman.js和express嗎?
- 23. 我可以用藍牙嗎?
- 24. SAP可以使用Python嗎?
- 25. 可以使用GoTo嗎?
- 26. 我可以使用PayPal嗎?
- 27. web2py可以使用svn嗎?
- 28. 我可以只用ffmpeg嗎?
- 29. 可以調用[super loadView]嗎?
- 30. 可以使用Cassandra Collections嗎?