标签: security asp.net-core jwt
我正在通过JWT认证。它看起来很不错。但是我有一个问题就是JWT认证在中间人攻击中容易发生人?有人可以在发送时获得此令牌。如果是这样,那么使用令牌和伪造请求(显然有正确的URL)可以获取数据吗?
这甚至是一个有效的场景吗?
赞赏任何观点
答案 0 :(得分:1)
没有https的JWT容易受到中间人攻击,你应该使用https协议来降低风险。
您可以通过将客户端的IP地址添加为对JWT令牌的私有声明并进行验证来使其更加安全。