我是JWT(Json网络令牌)的新手。我在JWT中有一个问题,即识别带有令牌的用户(已经登录一次)和带有令牌(第一次登录)。
如果我每次登录时只传递用户名和密码,服务器会为我创建新的JWT,是不是这样?如果这是真的,那么如果有人访问他/她的用户名密码并尝试使用不同的PC或浏览器登录,那么它对用户是不容易的(因为JWT总是存储在cookie或本地存储上)
答案 0 :(得分:0)
遵循您的架构,如果攻击者窃取用户凭据(用户名/密码),那么,他可以登录系统并获得有效的JWT令牌。
如果攻击者窃取了JWT,也可以在到期时间之前登录系统,并使用提供的服务(例如更改密码,如果有的话)
然后安全问题是:保护凭据并保护令牌。