java - Problèmes de sécurité des jetons jwt.
高洛峰
高洛峰 2017-07-03 11:43:27
0
4
1195

ALes systèmes A et B sont séparés des extrémités avant et arrière.
(Deux systèmesCross-domain)
Maintenant, une page du système A passe au système B.
Maintenant, je l'utilise pour accéder au système B. Il y a un jeton crypté (y compris l'ID utilisateur) dans la barre d'adresse qui l'aide à se connecter automatiquement.
Cette page affiche des informations sur les produits et les réductions pour cet utilisateur.

Supposons que je connaisse le jeton de quelqu'un d'autre à ce moment-là, puis que je modifie la barre d'adresse. La page devient l'information de quelqu'un d'autre.

À cette époque, je ne connaissais même pas les mots de passe des comptes d’autres personnes, puis j’ai obtenu certaines informations utilisateur d’autres personnes.

高洛峰
高洛峰

拥有18年软件开发和IT教学经验。曾任多家上市公司技术总监、架构师、项目经理、高级软件工程师等职务。 网络人气名人讲师,...

répondre à tous(4)
过去多啦不再A梦

Cryptez https, le protocole HTTP lui-même n'est pas sûr, c'est du texte brut.
Ces gars ont raison, j'ai tort

曾经蜡笔没有小新
  1. La méthode la plus simple est aussi une méthode plus sûre. Lorsque la station b l'aide à se connecter, la boîte réapparaîtra. Laissez-le confirmer son mot de passe !

  2. Il existe un jeton appelé csrf ou. méthode des nombres aléatoires. Cela vaut la peine. Le jeton csrf limite de telles attaques inter-domaines

  3. Le jeton de vérification JWT doit être placé dans l'en-tête. Vous pouvez envisager une authentification par autorisation

  4. .
小葫芦

Tout d'abord, l'émergence du jeton vise à résoudre le problème de la vérification des utilisateurs. Puisqu'il existe deux systèmes, la connexion automatique doit être évitée.
Mais puisque vous avez un tel besoin, vous ne pouvez l'éviter que dans la mesure du possible. Voici une solution : essayez d'éviter les informations sensibles dans le token. Deuxièmement, lors de l'autorisation des tokens inter-systèmes, définissez l'autorisation de ce token sur un. -time et compresse la validité du jeton. Le temps est tel que le jeton n'est valable que 30 minutes. En fait, vous pouvez vous référer au fait que de nombreuses connexions tierces telles que Weibo et autres jetons autorisés ne contiennent qu'un petit. quantité d'informations telles que des surnoms et des avatars.

Ty80

Est-ce une vraie scène ?

Si vous pouvez obtenir le jeton de quelqu'un d'autre, cela équivaut à écouter son mot de passe. Ce n'est pas un problème de sécurité JWT.

La mesure liée au JWT lui-même est d'ajouter un délai d'expiration pour forcer le JWT à expirer après une certaine période de temps.

Selon la spécification JWT, il est préférable de mettre JWT dans l'en-tête de la requête Autorisation, pas dans l'URL.

HTTPS fonctionne.

Derniers téléchargements
Plus>
effets Web
Code source du site Web
Matériel du site Web
Modèle frontal