JWT在我的项目中用作用户身份验证。如果有人截获数据包(使用wireshark等(,获取用户的jwt令牌,然后尝试使用jwt令牌登录请求(重放攻击(如何使用jwt进行防御?(我的项目使用https(
ps。英语不是我的母语,所以我不擅长,所以请理解这些尴尬的句子。
JWT实际上就是您的访问令牌。因此,你必须确保它的安全,尤其是通过各种方式安全地传输它。如果攻击者能够获得JWT(例如,通过嗅探未加密的HTTP连接(,他总是可以*使用它来执行用户(分别是令牌(被授权执行的任何操作;重放攻击";。
因此,您不能直接使用JWT进行辩护。您只能确保始终通过加密的HTTPS连接发送它,并防止跨站点脚本攻击,这可能会使攻击者窃取JWT。
*正因为如此,JWT通常有一个到期时间。因此,如果你保持短的到期时间,攻击者只能在很短的时间内使用被盗的JWT。然而,一小段时间也可能足以实现永久访问。攻击者可能会通过最初的来源窃取一个新的JWT。