如果有人嗅探网络并使用令牌从我的REST捕获我的整个请求,会发生什么?这个人可以再次发送相同的数据包和Impact没有任何问题吗?当然他不会知道哪个用户是那个数据包,但他反正可能会产生影响吗?这可能吗?怎么能导致这种情况?
谢谢! 太
答案 0 :(得分:3)
如果有人嗅探网络并使用令牌从我的REST捕获我的整个请求,会发生什么?
JWT是身份验证令牌,因此他可以冒充用户。
此人可以再次发送相同的数据包和Impact而没有任何问题吗?
相同的数据包或任何其他数据包,因为如果有身份验证令牌。这与用户丢失您的用户名/密码的情况相同
当然他不知道那个用户是哪个用户,但他反正可能会受到影响吗?
是的,他可以知道用户,它可以简单地解码令牌的'sub'字段。 RFC中定义的该字段标识了作为该字段的主体 JWT的主题。攻击者可以使用您自己的api来获取或修改它有权访问的任何信息
这可能吗?怎么能导致这种情况?
主要使用HTTPS来避免中间人并保持令牌私密。定期设置到期和续订令牌
答案 1 :(得分:1)
当然,攻击者可以使用令牌并获得与受害者相同的访问权限。
如果您想限制攻击者的操作,则需要执行以下几个条件: