java - jwt token安全性问题.
问题描述
A,B系统是前后端分离的。(两个系统跨域)现在A系统一个页面跳转到B系统中。现在是用的跳转到B系统,地址栏中带了一个加密token (包含用户id).帮其自动登陆上了。此页面显示的商品信息和该用户的折扣。
此时假如我知道了别人的token,然后修改地址栏。页面就变成别人的信息了。
此时我都不知道别人的账号密码,然后就获得了别人的一些用户信息.
问题解答
回答1:https加密吧,Http协议本身就不安全,明文的。这几位说的对,我说错了
回答2:最简单的办法,也是比较安全的办法。在b站帮其登录的时候,再弹次框。让其确认密码!
有个叫csrf的令牌或者。随机数的办法。值得你拥有。csrf令牌就是限制这样的跨域攻击的
JWT的验证token是要放到header里的,你可以考虑授权认证
回答3:首先token的出现就是为了解决用户验证的问题 既然是两个系统了就应该避免自动登录的这种情况 这是很不安全的。不过你既然有这样的需求 那只有尽量侧面规避了,给个方案:token中尽量避免敏感信息 ,其次就是在授权跨系统的token时 把这个token的授权设为一次性的 并且压缩token的有效时间 如此token只办30分钟内有效其实你可以参考现在的很多第三方登录 如微博等 授权的token都只包含昵称,头像等少量信息
回答4:题主这是真实场景的情况吗?
如果你能得到别人的 token,相当于窃听了他的密码,这不是 JWT 的安全问题。
与 JWT 本身有关的措施,就是加入过期时间,强制 JWT 在一定时间后失效。
根据 JWT 规范,JWT 最好是放在请求头部 Authorization 中,不要放在 URL 里。
HTTPS 是有用的。
相关文章:
1. javascript - 读js权威指南“作为值得函数”产生了疑惑,求释疑2. python中merge后文件莫名变得非常大3. file - Python如何读文件内容修改后写回原文件4. javascript - 为什么 process.stdin 会有 write 方法◔ ‸◔?5. boostrap怎么在移动端不显示sidebar?6. android - 使用listview加载不同item,数据填充错误。7. python3.x - python中的虚拟环境怎样设置一直处于激活状态8. 请问带渐变背景的进度条如何实现?求给点思路9. javascript - 关于js原生事件的绑定与解除绑定10. mysql - 数据库建字段,默认值空和empty string有什么区别 110