java - jwt token安全性問題.
高洛峰
高洛峰 2017-07-03 11:43:27
0
4
1192

A,B系統是前後端分離的。
(兩個系統跨域)
現在A系統一個頁面跳到B系統。
現在是用的跳到B系統,網址列帶了一個加密token (包含用戶id).幫其自動登陸上了。
此頁面顯示的商品資訊和該使用者的折扣。

此時假如我知道了別人的token,然後修改網址列。頁面就變成別人的訊息了。

此時我都不知道別人的帳號密碼,然後就獲得了別人的一些使用者資訊.

#
高洛峰
高洛峰

拥有18年软件开发和IT教学经验。曾任多家上市公司技术总监、架构师、项目经理、高级软件工程师等职务。 网络人气名人讲师,...

全部回覆(4)
过去多啦不再A梦

https加密吧,Http協議本身就不安全,明文的。
這幾位說的對,我說錯了

曾经蜡笔没有小新
  1. 最簡單的辦法,也是比較安全的辦法。在b站幫其登入的時候,再彈次框。讓其確認密碼!

  2. 有個叫csrf的令牌或。隨機數的辦法。值得你擁有。 csrf令牌就是限制這樣的跨域攻擊的

  3. JWT的驗證token是要放到header裡的,你可以考慮授權認證

小葫芦

首先token的出現就是為了解決使用者驗證的問題 既然是兩個系統了就應該避免自動登入的這種情況 這是很不安全的。
不過你既然有這樣的需求那隻有盡量側面規避了,給個方案:token中盡量避免敏感信息,其次就是在授權跨系統的token時把這個token的授權設為一次性的並且壓縮token的有效時間如此token只辦30分鐘內有效
其實你可以參考現在的很多第三方登入如微博等授權的token都只包含暱稱,頭像等少量資訊

Ty80

題主這是真實場景的狀況嗎?

如果你能得到別人的 token,相當於竊聽了他的密碼,這不是 JWT 的安全問題。

與 JWT 本身有關的措施,就是加入過期時間,強制 JWT 在一定時間後失效。

根據 JWT 規範,JWT 最好是放在請求頭部 Authorization 中,不要放在 URL 裡。

HTTPS 是有用的。

熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板