JWT在我的项目中被用作用户身份验证。如果有人截取数据包(使用wireshark等),获取用户的jwt令牌,然后试图使用jwt令牌登录请求(重放攻击),我该如何使用jwt进行防御?(我的项目使用https)ps.英语不是我的母语,所以我不擅长,所以请理解这些尴尬的句子。
jobtbby31#
JWT就是你的访问令牌。所以你必须保证它的安全,尤其是通过各种方式安全地传输它。如果攻击者能够获得JWT(例如通过嗅探一个未加密的HTTP连接),他总是可以 * 使用它来执行任何用户(相应的令牌)被授权的操作。所以它比“重放攻击”更有用。因此,您不能直接使用JWT进行防御。您只能确保始终通过加密的HTTPS连接发送它,并防止跨站点脚本攻击,这可能会允许攻击者窃取JWT。
1条答案
按热度按时间jobtbby31#
JWT就是你的访问令牌。所以你必须保证它的安全,尤其是通过各种方式安全地传输它。如果攻击者能够获得JWT(例如通过嗅探一个未加密的HTTP连接),他总是可以 * 使用它来执行任何用户(相应的令牌)被授权的操作。所以它比“重放攻击”更有用。
因此,您不能直接使用JWT进行防御。您只能确保始终通过加密的HTTPS连接发送它,并防止跨站点脚本攻击,这可能会允许攻击者窃取JWT。