在Web身份验证的上下文中了解JSON Web令牌(JWT)
在Web客户端 – 服务器身份验证的上下文中关于JWT的一些陈述:
> JWT在中间攻击中对人不安全.从客户端到服务器安全性发送JWT等于发送散列密码. 一个真实世界的例子,客户端必须多次调用API才能完成一个工作流程:用户想要知道从A到B的最短路径的价格.我们使用两种类型的JWT,即“authJWT”&一个“正常的JWT”. > IF客户端有authJWT:客户端使用authJWT请求API0(auth API). API0检查authJWT签名&用户数据有效负载与DB&时间戳< 2天.返回新的“正常”JWT. 这个设计有什么缺陷?有什么可以改进的? 解决方法
你的帖子很大,如果我误解了什么就很抱歉
看来你正在谈论访问令牌和刷新令牌之类的东西.请参阅this和this auth0文章. Google oauth2正在使用类似的东西: >访问令牌:授权访问受保护资源.寿命有限.必须保密,由于寿命缩短,安全考虑不那么严格. 在这个post中,您可以找到使用建议: > Web应用程序:在令牌过期之前刷新令牌,每次用户打开应用程序和每个固定时间段(1小时?) 回答你的问题,我认为API0充当刷新令牌服务器,API1,2和3需要访问令牌.避免使用HTTPS的ManInTheMiddle,整体使用API??0 (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |