JWT RS256-中间人能在到达客户端之前得到令牌吗?
我知道客户端向服务器发出请求,服务器发回客户端用来发出请求的令牌。我不理解这是如何安全的,因为中间的人可以捕捉来自服务器的响应并使用那个令牌。 也许我不完全理解这一点,但我想JWT RS256-中间人能在到达客户端之前得到令牌吗?,jwt,rsa,Jwt,Rsa,我知道客户端向服务器发出请求,服务器发回客户端用来发出请求的令牌。我不理解这是如何安全的,因为中间的人可以捕捉来自服务器的响应并使用那个令牌。 也许我不完全理解这一点,但我想 谢谢 你对中间人的关注,不知何故获得JWT的副本是一个有效的,如果发生这种情况,那么MITM可能会伪装成一个有效的用户,使用他的JWT作为标识。 然而,只有在服务器和客户端之间传递的数据完全未加密的情况下,这个问题才会很容易发生。最可能的情况是,您的应用程序将使用某种形式的SSL(例如HTTPS)在服务器和客户端之间进行通
谢谢
你对中间人的关注,不知何故获得JWT的副本是一个有效的,如果发生这种情况,那么MITM可能会伪装成一个有效的用户,使用他的JWT作为标识。 然而,只有在服务器和客户端之间传递的数据完全未加密的情况下,这个问题才会很容易发生。最可能的情况是,您的应用程序将使用某种形式的SSL(例如HTTPS)在服务器和客户端之间进行通信。在这种情况下,MITM最多只能获得一堆胡言乱语,其中可能包含JWT的全部/部分。但是,他不可能轻易放弃原来的JWTJWT的主要重点是,它们可以防止客户端的篡改。这意味着用户不能进入他的JWT并更改其声明或元数据。相反,服务器将一些声明锁定到JWT中,并且只有服务器可以控制这一点。即使是MITM也无法篡改有效的JWT。@ClaudiuSocaci我喜欢用一个比喻,JWT就像护照一样。如果有人偷了你的护照,那么在某种程度上,他们可能会假装是你。但当然,光有护照还不足以登机。你必须匹配照片,能够回答关于护照中信息的问题,等等。因此JWT不是一个完全访问的通行证,它只是在每次请求时都要处理密码。