Я решил реализовать безопасность на основе токенов json web, но у меня есть один вопрос. Допустим, у меня есть пользователь Том, и он делает запрос на мой сервер. В ответ он получит jwt-токен. Все последующие запросы от Tom будут содержать этот jwt. Возможно ли, что кто-то захватит его jwt с помощью wirehark или еще что-нибудь и сделает запрос от имени Тома без его ведома? С сервера persperctive jwt будет действителенВозможно ли с помощью jwt?
0
A
ответ
1
Да, это возможно. Это называется «повторная атака». HTTPS делает это намного сложнее, но это возможно даже с HTTPS. Связанное обсуждение можно найти здесь, например, здесь https://stackoverflow.com/a/2770200/43848
1
Да, это возможно. Любой, кто имеет JWT, мог выдавать себя за Тома. Использовать https, чтобы избежать атаки злоумышленника, может захватить токен из обменных сообщений и сохранить токен в защищенном хранилище.
Смежные вопросы
- 1. Безопасен ли JWT с RS256?
- 2. Возможно ли получить сеансы пользователя при использовании jwt auth?
- 3. JWT-токен, созданный с помощью jose-jwt и jwt.io
- 4. Возможно ли аннулировать JWT пользователя на других устройствах?
- 5. Как добавить претензии в jwt с помощью jose-jwt
- 6. JSONWebTokens с экспресс-jwt VS passport-jwt
- 7. Нужно ли проверять jwt?
- 8. Можете ли вы подписывать токены с помощью express-jwt, поскольку, похоже, основное внимание уделяется проверке JWT?
- 9. Поддерживает ли API Gmail JWT?
- 10. JWT Обновить токен с помощью Sails JS
- 11. Аутентификация с помощью токена JWT в Django
- 12. Возможно ли преобразование MDA с помощью C#
- 13. Возможно ли обнаружение ОС с помощью GLib?
- 14. Возможно ли репликация с помощью Spring Couchbase?
- 15. Возможно ли это с помощью Reactive Framework?
- 16. Возможно ли с помощью динамического запроса TSQL?
- 17. Возможно ли реализовать BFS с помощью рекурсии?
- 18. Возможно ли это с помощью кнопочного переключателя?
- 19. Возможно ли SMS-изображение с помощью PHPMailer
- 20. Поддержка - возможно ли это с помощью бутстрапа?
- 21. Возможно ли принудительное подтверждение с помощью MembershipProvider.ValidateUser?
- 22. Возможно ли наследование конфигурации с помощью Require.js?
- 23. Возможно ли это с помощью PHP?
- 24. Возможно ли сделать все с помощью goto's?
- 25. Возможно ли транслировать с помощью ReactPHP?
- 26. Возможно ли инициировать события с помощью Vue.js?
- 27. Возможно ли это с помощью поиска elastics?
- 28. Возможно ли это с помощью CSS 3
- 29. Возможно ли генерировать случаи с помощью цикла?
- 30. Неавторизованное ведро, возможно ли с помощью boto?