我创建了一个网关api,用于通过jwt通过以下方式验证用户:
一切正常,但我遇到了问题。我正在使用Restlet和Postman进行测试。我使用这2个测试工具与2个不同的用户登录,并获得2个不同的JWT。但是,这些JWT已在不同用户之间成功验证。意味着,如果我通过第一位用户的JWT与第二位用户进行安全操作,则验证成功。我认为这不是可取的行为。因为如果有人入侵一个用户的jwt,他可以在第二个用户下执行操作。
答案 0 :(得分:0)
任何基于令牌的身份验证也都存在这种中间人攻击问题,攻击者可以通过窃听您的网络流量来窃取JWT。因此,如果要防止网络流量被窃听,我们需要使用SSL来加密网络流量。
另一方面,您可以在JWT上引入到期时间,以便在JWT被他人盗用的情况下,它只能使用很短的时间。