flask - 检查 JWT ALG
问题描述
我正在使用flask-jwt-extended
库进行身份验证,一切正常,但我想检查是否有人使用 发送了操纵的 JWT 令牌ALG = none
,因为这是用于欺骗服务器的已知漏洞点。
我查看了文档,但没有找到哪个选项可以让我检查alg
所有请求中收到的内容。
谢谢。
解决方案
Flask-JWT-Extended 已经为您处理了这个问题。app.config['JWT_DECODE_ALGORITHMS']
它会根据在或app.config['JWT_ALGORITHM']
此处(https://github.com/vimalloc/flask-jwt-extended/blob/1fec4dc22fe97fd3bf579548079543a8c0b61e3e/flask_jwt_extended/utils.py#L111 )中定义的预期算法检查每个令牌,以避免此类攻击。
推荐阅读
- javascript - VUE:未捕获的类型错误:无法读取未定义的属性“长度”
- flutter - 如何在 Flutter 聊天应用中进行端到端加密?
- arrays - 加速循环/匹配 - 代码运行速度很慢
- android-studio - 使用 Apple M1 芯片的多个 Android Studio 锁定
- android - Android Studio 中的 Apple Music“我的图书馆”/“Apple Music”滑块切换按钮
- c# - System.Text.Json.JsonSerializer ignores DictionaryKeyPolicy when serializing dictionary keys with non-primitive values
- php - PHP Unicode 到字符的转换
- objective-c - 我可以使用 AudioKit Swift 录制设备声音吗
- curl - cURL:导入到 mediawiki 时出现 Notoken-Error
- javascript - 登录后重定向到另一个页面而不刷新页面