我了解到客户端向服务器发出请求,服务器发回客户端使用的令牌来发出请求。我不明白这种方法的安全性,因为中间的人可以捕获来自服务器的响应并使用该令牌。 也许我不太了解,但是我想。
谢谢
答案 0 :(得分:1)
您对中间一个人的关注以某种方式获得JWT的副本是有效的,如果发生这种情况,那么MITM可能会伪装成有效用户,并使用其JWT作为标识。
>但是,仅当服务器和客户端之间传递的数据完全未加密时,才容易发生此问题。您的应用很可能会使用某种形式的SSL(例如HTTPS)在服务器和客户端之间进行通信。在这种情况下,MITM可获得的最多就是一堆乱七八糟的东西,其中可能包含全部/部分JWT。但是,他将无法轻易撤消原始的JWT。
JWT的主要重点是它们是 client 的防篡改功能。这意味着用户无法进入其JWT并更改其声明或元数据。相反,服务器将某些声明锁定到JWT中,只有服务器可以控制它。甚至MITM也无法篡改有效的JWT。