在使用基于令牌的身份验证时,如何防止重播攻击并为我的应用程序添加另一层加密:JSON Web身份验证?
答案 0 :(得分:1)
您可以使用https。你应该使用https。
答案 1 :(得分:0)
如果要保护应用程序身份验证免受重放攻击,可以包含现时(jti),到期时间(exp)和已发布时间(iat)。< / p>
有关详细信息,请参阅spec。
更详细一点。
重放攻击(也称为回放攻击)是一种网络形式 恶意或有效数据传输的攻击 欺诈性重复或延迟。 [wikipedia]
因此,如果您使用的是nonce,数据只能传输一次,因此无法重新传输。这可以防止经典的重播攻击。
为避免延迟攻击,使用到期时间和发布时间。此攻击不仅包括捕获数据流量,还包括中断受害者的流量。并且中断流量需要时间。当然,使用到期时间和发布时间不是100%的解决方案,但如果您明智地选择值,则可以将风险降至最低。