cari

Rumah  >  Soal Jawab  >  teks badan

java - isu keselamatan token jwt.

ASistem A dan B diasingkan dari bahagian depan dan belakang.
(Dua sistemCross-domain)
Kini halaman dalam sistem A melompat ke sistem B.
Sekarang saya menggunakannya untuk melompat ke sistem B. Terdapat token yang disulitkan (termasuk ID pengguna) dalam bar alamat Ia membantunya untuk log masuk secara automatik.
Halaman ini memaparkan maklumat produk dan diskaun untuk pengguna ini.

Andaikan saya tahu token orang lain pada masa ini, dan kemudian mengubah suai bar alamat. Halaman tersebut menjadi maklumat orang lain.

Pada masa ini, saya tidak tahu pun kata laluan akaun orang lain, dan kemudian saya mendapat beberapa maklumat pengguna orang lain.

高洛峰高洛峰2725 hari yang lalu1179

membalas semua(4)saya akan balas

  • 过去多啦不再A梦

    过去多啦不再A梦2017-07-03 11:45:27

    Sulitkan https, protokol HTTP itu sendiri tidak selamat, ia adalah teks biasa.
    Mereka ini betul, saya salah

    balas
    0
  • 曾经蜡笔没有小新

    曾经蜡笔没有小新2017-07-03 11:45:27

    1. Kaedah yang paling mudah juga merupakan kaedah yang lebih selamat. Apabila stesen b membantunya log masuk, kotak itu akan muncul semula. Biarkan dia mengesahkan kata laluannya!

    2. Ada token yang dipanggil csrf atau. kaedah nombor rawak. Memang berbaloi untuk dimiliki. Token csrf mengehadkan serangan merentas domain sedemikian

    3. Token pengesahan JWT mesti diletakkan dalam pengepala Anda boleh mempertimbangkan pengesahan kebenaran

    balas
    0
  • 高洛峰

    高洛峰2017-07-03 11:45:27

    Pertama sekali, kemunculan token adalah untuk menyelesaikan masalah pengesahan pengguna Memandangkan terdapat dua sistem, log masuk automatik harus dielakkan.
    Tetapi memandangkan anda mempunyai keperluan sedemikian, anda hanya boleh mengelakkannya seboleh-bolehnya Berikut adalah penyelesaian: cuba elakkan maklumat sensitif dalam token Kedua, apabila membenarkan token silang sistem, tetapkan kebenaran token ini -masa dan memampatkan kesahihan token masa sedemikian sehingga token hanya sah selama 30 minit Malah, anda boleh merujuk kepada fakta bahawa banyak log masuk pihak ketiga seperti Weibo dan token dibenarkan yang lain hanya mengandungi kecil. jumlah maklumat seperti nama panggilan dan avatar.

    balas
    0
  • PHP中文网

    PHP中文网2017-07-03 11:45:27

    Adakah ini adegan sebenar?

    Jika anda boleh mendapatkan token orang lain, ia adalah sama dengan mencuri dengar kata laluannya. Ini bukan isu keselamatan JWT.

    Langkah berkaitan JWT itu sendiri ialah menambah masa tamat tempoh untuk memaksa JWT tamat tempoh selepas tempoh masa tertentu.

    Mengikut spesifikasi JWT, sebaiknya letakkan JWT dalam Pengepala permintaan Kebenaran, bukan dalam URL.

    HTTPS berfungsi.

    balas
    0
  • Batalbalas