Flask 检查JWT ALG_Flask_Jwt_Flask Jwt Extended

Flask 检查JWT ALG

flask jwt

Flask 检查JWT ALG,flask,jwt,flask-jwt-extended,Flask,Jwt,Flask Jwt Extended,我正在使用flask jwt extended库进行身份验证，一切正常，但我想检查是否有人发送了一个带有ALG=none的被操纵的jwt令牌，因为这是一个已知的用于欺骗服务器的漏洞我查看了文档，但没有找到让我检查alg中收到的所有请求的选项谢谢。Flask JWT Extended已经为您处理好了。它根据app.config['JWT\u DECODE\u ALGORITHMS']或app.config['JWT\u ALGORITHM']here（）中定义的预期算法正确地检查每个令牌，以避

我正在使用

flask jwt extended

库进行身份验证，一切正常，但我想检查是否有人发送了一个带有

ALG=none

的被操纵的jwt令牌，因为这是一个已知的用于欺骗服务器的漏洞

我查看了文档，但没有找到让我检查

alg

中收到的所有请求的选项

谢谢。

Flask JWT Extended已经为您处理好了。它根据

app.config['JWT\u DECODE\u ALGORITHMS']

或

app.config['JWT\u ALGORITHM']

here（）中定义的预期算法正确地检查每个令牌，以避免此类攻击。

嘿！谢谢你的澄清。但是，如果我想用none alg记录发送的尝试请求（现在只是简单的控制台打印），我该如何处理？我必须改变来源吗？谢谢任何带有

none

的内容都将从受jwt保护的端点中踢出（

jwt_required

，

jwt_optional

等）。如果你想记录这个，你需要手动从headers/cookies/whatver中获取编码的令牌，并手动删除alg。可能是在请求之前的

@应用程序中。