在Web身份验证的上下文中了解JSON Web令牌(JWT)

> JWT在中间攻击中对人不安全.从客户端到服务器安全性发送JWT等于发送散列密码.
> JWT可以将用户详细信息作为有效负载.在不访问DB中的实际数据的情况下使用该数据被引用为JWT的一个特征.但是,如果DB数据发生更改,此JWT数据将不会失效/更新.
>从2开始,在某些情况下JWT有效负载应该针对DB进行验证和/或应该明智地设置时间戳以在一段时间后使JWT无效.

一个真实世界的例子,客户端必须多次调用API才能完成一个工作流程：用户想要知道从A到B的最短路径的价格.我们使用两种类型的JWT,即“authJWT”&一个“正常的JWT”.

> IF客户端有authJWT：客户端使用authJWT请求API0(auth API). API0检查authJWT签名&用户数据有效负载与DB&时间戳< 2天.返回新的“正常”JWT.
ELSE：客户端请求API0(auth API),密码为&使用时间戳登录JWT. API0检查密码&登录DB并返回authJWT& “正常”JWT.
在这两种情况下：将使用“普通”JWT调用所有后续API,并仅通过签名和时间戳验证有效性,但不会针对用户DB验证有效性.
>客户端请求API1两次以获得地点A和地点B的搜索字符串的最佳匹配.服务器检查JWT签名&时间戳< 10s并在需要时使用JWT用户数据.
>客户请求API2从A地到B处获得最短路径.服务器检查JWT签名&时间戳< 10s并在需要时使用JWT用户数据.
>客户要求API3获取卖空路线的价格.服务器检查JWT签名&时间戳< 10s并在需要时使用JWT用户数据.
这意味着中间的人必须接受对API0的调用才能获得真正的访问权限.捕获“正常”JWT几乎没有效果,因为它在10秒后到期.可能调用API 1-3甚至可以在没有SSL加密的情况下通过普通HTTP – 但这当然取决于您的用例.在所有情况下,JWT中的用户数据最好分别加密.

这个设计有什么缺陷？有什么可以改进的？