单点登录 jwt 实现,只能走 http 的话,有什么安全增强措施吗?

2019-07-05 16:01:08 +08:00
 cuttlefish

最近在弄单点登录解决方案,初步选定 jwt,但小厂可能无法使用 https,只能走 http 的话有什么措施能弥补中间人问题吗?

有其它更通用的单点登录方案大家也可以讲一下,蟹蟹大家

4040 次点击
所在节点    信息安全
14 条回复
npe
2019-07-05 16:28:07 +08:00
jwt 进行 RSA 加密
npe
2019-07-05 16:29:52 +08:00
@npe 当然,这只能防篡改
wangxiaoaer
2019-07-05 16:37:56 +08:00
jwt 本身就可以防篡改好吧。

jwt 需要防的是被盗用,一般所谓的把 jwt 再包一层这种做法很多是又造了一个类似 https 的东西出来。😂
wentaoliang
2019-07-05 16:38:24 +08:00
小厂为啥就不能用 https,想要解决 http 的中间人攻击自行解决的难度只会更高
zhangtao
2019-07-05 16:57:38 +08:00
由于无法主动让某个 jwt 字符串失效,因此只要能抓到包,就能伪造请求,所以老老实实上 https 吧
Lonely
2019-07-05 17:09:35 +08:00
上 https 有啥难度吗
uxstone
2019-07-05 17:13:47 +08:00
上 https 有啥难度吗
mlxy123123
2019-07-05 18:26:19 +08:00
Let's Encrypt 有什么不好
kangzai50136
2019-07-05 18:53:35 +08:00
我一个个人博客都上了 https 了你跟我说一家公司上不了 https ?
limuyan44
2019-07-05 19:07:01 +08:00
以小厂为理由不上 https 的建议开除这帮技术人员
Livid
2019-07-05 19:08:22 +08:00
https 在 2019 年应该是必须有的。

Let's Encrypt,TrustAsia,选择很多。
cheng6563
2019-07-05 19:11:48 +08:00
除非你是客户端应用,不然做不到防监听。
nnnToTnnn
2019-07-26 09:03:25 +08:00
http 毫无安全性可言,登入裸奔,且暴露密码
Shikyou
2020-06-24 16:54:47 +08:00
这一类实现单点登录的用户管理的云服务已经很多了,为什么还要自行开发呢?
比如楼上说的国内的 Authing,还有美国的 Auth0 和 AWS Cognito 都行的(国内由于政策原因用不了)。
用了以后就回不去了,再也无需开发、运维用户系统……

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/580348

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX