c# - 防止从另一台机器使用 JWT cookie
问题描述
如何通过将 JWT 访问令牌绑定到一台机器来保护它?
我可以从登录到我的站点并具有有效令牌的浏览器中获取令牌值和 cookie 身份,并访问另一个浏览器并访问授权操作?
解决方案
您始终可以从用户登录的浏览器中复制 cookie,然后将它们插入另一台机器上的另一个浏览器中,然后通过这种方式进行身份验证。
如果您想防止这种情况发生,您可以向标识浏览器和/或客户端的令牌添加声明,这需要在服务器上进行验证。
例如,您可以添加客户端的用户代理和公共 IP 地址,并使用服务器上的每个请求从令牌验证此信息。
但是,用户代理是可伪造的,并且它们的公共 IP 地址可能会更改。
推荐阅读
- excel - 将 Excel 语言从德语更改为英语
- php - 在php中使用时间戳获取所有时间
- maven - 如何通过 Maven 排除测试组?
- python - Tensorflow:使用 tf.Keras 层或 tf.Estimator API 时,何时需要运行 tf.Session()?
- c++ - 将较小的向量与较大的向量进行比较,以检查它是否在较小的末尾有所不同
- angular - Angular 6:从部分组件刷新路由
- json - Schema.org/Json - 关于定制、属性、医疗规格的付费专区问题
- python - pySpark 中的派生列,使用两列和前一行的值
- cors - 如何在 Vespa 中添加自定义过滤器包以启用 CORS?
- alasql - alasql 使用编号而不是问号进行查询