如何通过将JWT访问令牌绑定到一台机器来保护它?
我可以从登录到我的站点并具有有效令牌的浏览器获取令牌值和cookie身份,再到另一个浏览器并访问授权的操作吗?
答案 0 :(得分:0)
您始终可以从用户登录的浏览器中复制cookie,然后将其插入另一台计算机上的另一个浏览器中,并以此方式进行身份验证。
如果要避免这种情况,可以向令牌中添加一个声明,以标识浏览器和/或客户端,这需要在服务器上进行验证。
例如,您可以添加用户代理和客户端的公共IP地址,并根据服务器上的每个请求从令牌中验证此信息。
但是,用户代理是伪造的,其公共IP地址可能会更改。