我正在寻找一种解决方案,该方法如何在不使用加密的情况下提高JWT的安全性,同时允许用户进行多会话。
创建签名的标准算法是:
SEC_Type如果我们将一些唯一的客户端标识符(IP / MAC地址/浏览器指纹)(可以从请求本身导出而无需传递请求主体)与我们的秘密结合在一起怎么办?
HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)
即使整个JWT被盗,这种解决方案也将阻止黑客访问我们的数据。
不幸的是,IP的使用对于UNIQUEIDENTIFIER并不是最好的,因为客户端可以使用动态IP。 有什么想法可以将http请求的哪个参数用作UNIQUEIDENTIFIER?