Thinbug
News
客户端 JWT 验证和缓存的客户端公钥
时间:2021-07-27 22:00:51
标签:
jwt
pki
问题:
客户端向使用客户端私钥签名的服务器发送 JWT
服务器使用 http(而不是 https)检索公钥以验证 JWT 是否由客户端签名,缓存客户端的公钥。
攻击者拦截 http 连接,将公钥更改为攻击者的公钥,然后向服务器发送带有攻击者签名的 JWT,就好像这是从客户端发送的消息一样。
有办法摆脱这种威胁模型吗? 谢谢
0 个答案:
没有答案
相关问题
最新问题
我写了这段代码,但我无法理解我的错误
我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
是否有可能使 loadstring 不可能等于打印?卢阿
java中的random.expovariate()
Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
为什么我的 Onclick 箭头功能在 React 中不起作用?
在此代码中是否有使用“this”的替代方法?
在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
每千个数字得到
更新了城市边界 KML 文件的来源?