JSON Web Token(JWT)作为电子邮件激活的URL

时间:2016-04-07 01:34:35

标签: jwt

2 个答案:

答案 0 :(得分:11)

FAQ you link to说:

  

网址中JWT令牌的用例是:

           

这两个都是一次性令牌的好候选人(点击后会过期)。

所以,是的。只需确保每封电子邮件只能激活一次(并且不要使用示例中可怕的“秘密”密钥,如果签名可以伪造,则可以绕过您的验证。)

答案 1 :(得分:4)

使用无状态令牌(如JWT)是安全的,只要您用于签署令牌的秘密以及验证令牌的方式是安全的。但在密码重置URI中使用JWT作为auth-token之前,您应该考虑一些其他方面......

由于你不能使一个特定的JWT失效(没有再次保持状态)并且到期是不够的(在这个特定的情况下),你基本上想要的是你的JWT是通常所知的一次性 - 或单次使用令牌。原因在于您可能不希望使用一次密码重置链接来重置密码,因为这样可能会让攻击者完全锁定用户(通过不断更改密码)。

我在这里描述了它是如何工作的:Single-Use Tokens w/ JWT - 基本上你需要将服务器端的某种状态(例如用户密码的哈希)转换为HMAC密钥并使用它来签署您的用户特定令牌。密码更改后,这会导致令牌验证失败...