我最近使用DotNet核心身份实现JWT Auth。
我知道要减少获取访问令牌的身份验证的次数(当访问令牌在短时间内过期以提高安全性时),我们使用刷新令牌来更新访问令牌而不是重新进行身份验证。
我认为如果中间人试图窃取Refresh-Token以获取新的Access-Token并发出请求(劫持令牌),系统将如何找到它并拒绝该请求?
我的意思是,如果JWT被某人盗用进行模仿,服务器识别并拒绝了,那么有解决方案吗? (我知道SSL可以提供帮助,但我正在考虑其他方法。例如,按时间和Ip或....对JWT进行加密)
答案 0 :(得分:2)
假设您在服务器和客户端之间使用两种方式的SSL,那么您所关心的主要是讨论。原因是任何中间人,如果他找到一种拦截方法,甚至都不知道JWT的开始和结束位置。相反,他只会陷入一些编码混乱。假设,如果某人拥有JWT,则可以,他可能可以模拟您的一个用户。这与偷信用卡然后伪装成所有者的人没有什么不同。但是,由于SSL,这种情况发生的可能性很小。