java - isu keselamatan token jwt.
高洛峰
高洛峰 2017-07-03 11:43:27
0
4
1193

ASistem A dan B diasingkan dari bahagian depan dan belakang.
(Dua sistemCross-domain)
Kini halaman dalam sistem A melompat ke sistem B.
Sekarang saya menggunakannya untuk melompat ke sistem B. Terdapat token yang disulitkan (termasuk ID pengguna) dalam bar alamat Ia membantunya untuk log masuk secara automatik.
Halaman ini memaparkan maklumat produk dan diskaun untuk pengguna ini.

Andaikan saya tahu token orang lain pada masa ini, dan kemudian mengubah suai bar alamat. Halaman tersebut menjadi maklumat orang lain.

Pada masa ini, saya tidak tahu pun kata laluan akaun orang lain, dan kemudian saya mendapat beberapa maklumat pengguna orang lain.

高洛峰
高洛峰

拥有18年软件开发和IT教学经验。曾任多家上市公司技术总监、架构师、项目经理、高级软件工程师等职务。 网络人气名人讲师,...

membalas semua(4)
过去多啦不再A梦

Sulitkan https, protokol HTTP itu sendiri tidak selamat, ia adalah teks biasa.
Mereka ini betul, saya salah

曾经蜡笔没有小新
  1. Kaedah yang paling mudah juga merupakan kaedah yang lebih selamat. Apabila stesen b membantunya log masuk, kotak itu akan muncul semula. Biarkan dia mengesahkan kata laluannya!

  2. Ada token yang dipanggil csrf atau. kaedah nombor rawak. Memang berbaloi untuk dimiliki. Token csrf mengehadkan serangan merentas domain sedemikian

  3. Token pengesahan JWT mesti diletakkan dalam pengepala Anda boleh mempertimbangkan pengesahan kebenaran

小葫芦

Pertama sekali, kemunculan token adalah untuk menyelesaikan masalah pengesahan pengguna Memandangkan terdapat dua sistem, log masuk automatik harus dielakkan.
Tetapi memandangkan anda mempunyai keperluan sedemikian, anda hanya boleh mengelakkannya seboleh-bolehnya Berikut adalah penyelesaian: cuba elakkan maklumat sensitif dalam token Kedua, apabila membenarkan token silang sistem, tetapkan kebenaran token ini -masa dan memampatkan kesahihan token masa sedemikian sehingga token hanya sah selama 30 minit Malah, anda boleh merujuk kepada fakta bahawa banyak log masuk pihak ketiga seperti Weibo dan token dibenarkan yang lain hanya mengandungi kecil. jumlah maklumat seperti nama panggilan dan avatar.

Ty80

Adakah ini adegan sebenar?

Jika anda boleh mendapatkan token orang lain, ia adalah sama dengan mencuri dengar kata laluannya. Ini bukan isu keselamatan JWT.

Langkah berkaitan JWT itu sendiri ialah menambah masa tamat tempoh untuk memaksa JWT tamat tempoh selepas tempoh masa tertentu.

Mengikut spesifikasi JWT, sebaiknya letakkan JWT dalam Pengepala permintaan Kebenaran, bukan dalam URL.

HTTPS berfungsi.

Muat turun terkini
Lagi>
kesan web
Kod sumber laman web
Bahan laman web
Templat hujung hadapan