我决定基于json web令牌实现安全性,但我有一个问题。假设我有一个用户Tom,他向我的服务器发出请求。作为回应,他将获得jwt令牌。 Tom的所有后续请求都将包含此jwt。是否有人可能会使用wireshark或其他人捕获他的jwt并在他不知情的情况下代表Tom提出请求?从服务器persperctive jwt将是有效的
答案 0 :(得分:1)
是的,这是可能的。它被称为"重播攻击"。 HTTPS使得它变得更加困难,但即使使用HTTPS,它仍然可以实现。可以在此处找到相关讨论https://stackoverflow.com/a/2770200/43848
答案 1 :(得分:1)
是的,它是可行的。任何拥有JWT的人都可以冒充汤姆。使用https可以避免攻击者从交换的邮件中捕获令牌并将令牌保存在安全存储中