我正在使用ADFS 3.0发布的JWT令牌构建移动应用和API。移动应用程序已注册为ADFS的OAuth2客户端。我担心有人可能会拦截JWT令牌并使用它来恶意访问API。
我的问题是,这足以保护API吗?
答案 0 :(得分:2)
令牌确实很敏感,但这可以通过一些因素来缓解。
令牌在Authentication Header中传递。这就是为什么你只需要通过https调用传递它,因为标题在那时被加密并且是安全的。
该令牌仅在一段时间内有效....您可以将此值设置为您想要的任何值。我把它们安装了1个小时。即使某人确实获得了令牌,他们也只能使用该令牌,之后它才会失效。
您还需要确保生成令牌的方法。保持ClientID和ClientSecret的安全。不要在URL中传递它们,例如可以拦截它们。
如果你这样做,你将会像任何人一样在互联网上安全。
最后一点,有些人喜欢将令牌存储在数据库中。我会建议反对它。保持它们在您的客户端应用程序中,是的,以安全的方式,以便您可以重复使用它们,直到它们过期,但不要使用任何可能被盗,被黑客攻击的传统存储。