python - JWT 授权和令牌泄漏

它如何防止可以看到用户数据包的攻击者的攻击？

仅仅因为您可以看到某人的数据包并不意味着您可以看到内容。HTTPS 对流量进行加密，因此即使有人设法捕获您的流量，他们也无法从中提取 JWT。每个使用身份验证的网站都只能通过 HTTPS 运行。如果有人能够进行中间人攻击，那就另当别论了。

他们将能够复制令牌并使用它来登录自己并访问受保护的资源

是的，但仅作为他们窃取令牌的用户。JWT 已签名，这意味着您无法在不破坏服务器检测到的签名的情况下修改其内容（至少在计算上无法找到哈希冲突以便您可以修改 JWT 的内容）。对于高度敏感的访问（银行账户、医疗数据、企业云管理员账户......），您将需要至少 2 因素身份验证。

如果攻击者可以窃取一次令牌，他们不能在刷新后再次这样做吗？

可能，但这取决于令牌的暴露方式。如果被攻击者位于您和服务器之间的未加密通道上，那么确保他们可以重复相同的过程，但这种暴露可能是临时故障/人为错误的结果，可能很快就会得到修复，这将阻止攻击使用令牌一旦它过期。

有没有办法验证客户端发送的令牌是从您发送它的同一个客户端发送的？

如果攻击者成功执行了中间人攻击，他们可以伪造您可能用来验证客户端的任何信息，因此答案是否定的，没有 100% 可靠的方法来验证客户端。

我在 JWT 中看到的最大问题不是 JWT 本身，而是某些人处理它们的方式（存储在未加密的浏览器本地存储中，包含 PII、没有 HTTPS、必要时没有 2 因素身份验证等......）