我一直在阅读并试图理解浏览器端安全性的差异。根据我的收集,SSL用于阻止人们嗅探您发送到服务器的流量。这允许您以明文形式向服务器发送密码......对吗?只要您处于SSL加密会话中,您就不必担心首先散列密码或任何奇怪的东西,只需将其与用户名一起直接发送到服务器即可。在用户进行身份验证后,您将它们发送回JWT,然后所有对服务器的请求都应该包含此JWT,假设他们正在尝试访问安全区域。这使得服务器甚至不必检查密码,所有服务器都会验证签名,这是所有服务器都关心的。只要签名得到验证,您就可以向客户提供他们要求的任何信息。我错过了什么吗?
答案 0 :(得分:4)
你是对的。 “这使得服务器甚至不必检查密码。”为什么要在每个请求上检查密码?
JWT是一种验证身份验证的方法。它是在成功的身份验证请求时生成的,因此随每个请求一起传递,以使服务器知道该用户已通过身份验证。
它可用于存储user_id或api_key等任意值,但它们不是很安全,因此请勿在此处存储任何有价值的信息。
要小心,如果一个普通的JWT被第三方拦截,它可以承担该用户的会话和可能的数据。
SSL是一种较低级别的安全形式,可加密来自服务器的每个请求,以防止拦截并保持完整性。 通过(购买)SSL证书并将其安装在您的服务器上来实现SSL。基本上,SSL证书是一种小型数据文件,它将加密密钥绑定到“组织”。成功安装后,可以进行HTTPS请求(默认情况下在端口443上)。