spring-boot - JWT 令牌安全
问题描述
由于 JWT 令牌通过标头发送以验证使用,用户只需检查 chrome 开发工具中的 Web 调用并复制粘贴令牌并使用它来访问公开的 API。
例如,如果我使用此令牌创建记录,恶意用户可以使用相同的令牌(通过使用上述方式)在数据库中创建新记录。
我怎样才能阻止这种情况发生?是否使用带有服务器公钥的令牌加密来阻止这种情况?
解决方案
Token 代表用户身份。这是正常的,用户可以查看自己的令牌。令牌在服务器上验证。通常没有简单的方法来伪造令牌。使用不能自己生成新令牌。
浏览器和服务器之间的通信应该通过 TLS 完成。然后没有第三方将能够看到令牌。
如果您的用户将其浏览器的访问权限授予其他人,那么是的,其他人可能会访问令牌并稍后在另一台计算机上使用它,如果此令牌尚未过期。但这并不特定于令牌,这就像将您的密码访问权限授予 smb else。
推荐阅读
- r - 使用循环合并不同列的两个数据框
- c - 解析器为 entry_t 提供未知类型名称错误
- rust - CORS POST XHR 或 Fetch 请求不适用于 Actix Rust HTTP 服务器
- node.js - ng build 在实时 ubuntu 服务器上冻结
- firebase - PlatformException(sign_in_failed, com.google.android.gms.common.api.ApiException: 10: , null, null)
- spring-boot - 如何模拟 RestTemplate Exchange 弹簧靴
- javascript - GraphQL 检查区块链上是否存在交易
- visual-studio-code - 在 vscode 中运行多个单元格
- javascript - 如何在 Laravel 中将多个复选框标签文本保存到数据库中
- html - 使用角度的移动设备上的横向模式网站?