Возможно ли с помощью jwt?

Question

Я решил реализовать безопасность на основе токенов json web, но у меня есть один вопрос. Допустим, у меня есть пользователь Том, и он делает запрос на мой сервер. В ответ он получит jwt-токен. Все последующие запросы от Tom будут содержать этот jwt. Возможно ли, что кто-то захватит его jwt с помощью wirehark или еще что-нибудь и сделает запрос от имени Тома без его ведома? С сервера persperctive jwt будет действителен

Answer 1

Да, это возможно. Это называется «повторная атака». HTTPS делает это намного сложнее, но это возможно даже с HTTPS. Связанное обсуждение можно найти здесь, например, здесь https://stackoverflow.com/a/2770200/43848

Answer 2

Да, это возможно. Любой, кто имеет JWT, мог выдавать себя за Тома. Использовать https, чтобы избежать атаки злоумышленника, может захватить токен из обменных сообщений и сохранить токен в защищенном хранилище.