JWT 安全性 讨论

2017-07-17 14:53:54 +08:00
 janyw

了解了一下 JWT 协议,对于多端统一处理,服务端不用保存,还是蛮看好的。

但是也有疑问,客户端在拿到服务器签发的 JWT 后,如果客户端被拦截,Head 里面的 JWT 不修改,篡改 Body 里面的数据,服务端也会通过。

如果保证这点呢?

12197 次点击
所在节点    Java
33 条回复
hantsy
2017-07-17 22:14:22 +08:00
@hcwhan 不如在 Request 中再一个 XSFS Token 验证。
Suclogger
2017-07-18 00:49:09 +08:00
客户端的密钥无法保证丢失,用 https 也没用,无法抵御中间人攻击,所以这也是我不愿意使用 jwt 的原因,虽然他很简洁,很适合在微服务环境做认证
kylin511
2017-07-18 07:38:06 +08:00
可以用 PoP token
reus
2017-07-18 08:33:24 +08:00
@zonghua 短了客户要频繁验证,一天不登录又要验证,长了危险期又很长
liujun5065
2017-07-18 10:07:49 +08:00
JWT 是方便授权的,只要保证不能被伪造就行了。防劫持那是另外的问题。防中间人劫持可以使用 https。防客户端劫持可以缩短有效时间,可以使用加密硬件,这个需要分情况。支付宝类就可以把时间限制的很短,比如一次交易时间内。v2ex 这种就随便了,设置个一年都没问题。
ltye
2017-07-18 11:07:28 +08:00
payloads 的签名是在服务端完成的,校验也是,没太看明白篡改有什么用,改的了 payloads 也改不了签名啊,除非渗透了服务器拿到配置里的 secret key
janyw
2017-07-18 14:46:08 +08:00
@wancaibida jwe 是个啥?
janyw
2017-07-18 14:46:51 +08:00
@ltye 比如 body 是 A 给 B 转账 100 元。篡改为 A 给 C 转账 100 元
maze1024
2017-07-18 22:03:07 +08:00
@qclaogui 哈哈哈,我看到也吓一跳,明明第三段是校验前两端的,楼主怎么做到修改中间段而能通过校验,难道没有加盐?
maze1024
2017-07-18 22:07:52 +08:00
@janyw 客户端无法修改 payloads 的,并且 payloads 不能存放敏感数据,因为是 base64 在客户端可以转化明文,敏感有风险。另外你修改第一或第二段任何数值之后,就和第三段的校验不符合了,是不可能通过服务端验证的。jwt 就相当于是一个令牌,用来确定访问权限的,不是用来传递重要数据的。
ykwlv
2017-07-19 16:46:44 +08:00
@Suclogger jwt 本来就是只在服务器端签名吧,你把密钥放客户端,肯定是会丢的啊。
Suclogger
2017-07-19 17:14:30 +08:00
@ykwlv 公钥必然是放在客户端的,不然怎么加签,公钥暴露意味请求可以被构造
ltye
2017-07-20 08:56:31 +08:00
@janyw 这样用 jwt 不合适吧,对于客户端来讲 jwt 就是一个字符串,不需要知道编码前的内容,只需要根据规则存储 /更新 /向服务器提交即可,如何编制 payloads 是服务端的工作。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/375908

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX