spring-security 如何使用jwt依赖于修复攻击

egdjgwm8  于 2022-11-11  发布在  Spring
关注(0)|答案(1)|浏览(188)

JWT在我的项目中被用作用户身份验证。如果有人截取数据包(使用wireshark等),获取用户的jwt令牌,然后试图使用jwt令牌登录请求(重放攻击),我该如何使用jwt进行防御?(我的项目使用https)
ps.英语不是我的母语,所以我不擅长,所以请理解这些尴尬的句子。

jobtbby3

jobtbby31#

JWT就是你的访问令牌。所以你必须保证它的安全,尤其是通过各种方式安全地传输它。如果攻击者能够获得JWT(例如通过嗅探一个未加密的HTTP连接),他总是可以 * 使用它来执行任何用户(相应的令牌)被授权的操作。所以它比“重放攻击”更有用。
因此,您不能直接使用JWT进行防御。您只能确保始终通过加密的HTTPS连接发送它,并防止跨站点脚本攻击,这可能会允许攻击者窃取JWT。

  • 因此,JWT通常都有一个过期时间。因此,如果您将过期时间保持得很短,攻击者可能只会在很短的时间内使用被盗的JWT。但是,很短的时间段也足以实现永久访问。而且,攻击者可能会通过初始源窃取新的JWT。

相关问题