将JWT作为电子邮件中的激活网址有多安全?
答案 0 :(得分:11)
网址中JWT令牌的用例是:
- 帐户验证 - 当您在网站上注册后向某个人发送电子邮https://yoursite.co/account/verify?token=jwt.goes.here
- 密码重置 - 确保重新设置密码的人员可以访问属于该帐户的电子邮件。 https://yoursite.co/account/reset-password?token=jwt.goes.here
这两个都是一次性令牌的好候选人(点击后会过期)。
所以,是的。只需确保每封电子邮件只能激活一次(并且不要使用示例中可怕的“秘密”密钥,如果签名可以伪造,则可以绕过您的验证。)
答案 1 :(得分:4)
使用无状态令牌(如JWT)是安全的,只要您用于签署令牌的秘密以及验证令牌的方式是安全的。但在密码重置URI中使用JWT作为auth-token之前,您应该考虑一些其他方面......
由于你不能使一个特定的JWT失效(没有再次保持状态)并且到期是不够的(在这个特定的情况下),你基本上想要的是你的JWT是通常所知的一次性 - 或单次使用令牌。原因在于您可能不希望使用一次密码重置链接来重置密码,因为这样可能会让攻击者完全锁定用户(通过不断更改密码)。
我在这里描述了它是如何工作的:Single-Use Tokens w/ JWT - 基本上你需要将服务器端的某种状态(例如用户密码的哈希)转换为HMAC密钥并使用它来签署您的用户特定令牌。密码更改后,这会导致令牌验证失败...