мы создаем веб-сервис с веб-серверами и клиентами ПК. клиентские программы подключаются к веб-серверу и отправляют некоторые данные по веб-сайтам. В клиенте нет взаимодействия с пользователем, нет паролей или логинов ... он просто отправляет некоторые данные, относящиеся к учетной записи клиента ...JWT, websockets и клиент-сервер через Интернет
что мы ' re обеспокоены, должен ли мы использовать JWT для предотвращения клиентской программы или захвата трафика или нет ...?
все статьи мы читали около браузеров <> веб-серверов, но не программы <> веб-серверы ....
спасибо за любые мысли!
Для проверки подлинности сообщения вы подтверждаете подпись JWT - это его цель (подпись). Если человек посередине способен создать действительную подпись, значит, ключ подписывания просочился - этот сценарий должен быть очень маловероятным, поскольку предположение заключается в том, что ключ подписки - это не то, что вы просачиваетесь из-под синего. Поэтому, если подпись прекрасна, JWT пришел из правильного источника и не был подделан. Вы можете подписать токен с симметричным ключом или с помощью закрытого ключа. Распределите свой открытый ключ в других приложениях, чтобы проверить подпись. –
JWT должен быть выпущен после проверки подлинности. Если у вас нет метода идентификации, тогда ваша проблема предшествует, как вы собираетесь идентифицировать клиентов вашего ПК? – pedrofb