什么';如果用户需要发送一次凭证,JWT的好处是什么?
JWT代币似乎是一个非常好的主意。您可以向某些API发送请求,而无需使用用户名/密码密码对 尽管如此,我还是不完全理解它所带来的好处。我有两个问题:什么';如果用户需要发送一次凭证,JWT的好处是什么?,jwt,Jwt,JWT代币似乎是一个非常好的主意。您可以向某些API发送请求,而无需使用用户名/密码密码对 尽管如此,我还是不完全理解它所带来的好处。我有两个问题: 要获取令牌,用户仍然需要将其凭据发送到发布这些令牌的服务器。这难道不是这一切的弱点吗 如果攻击者在转移代币时偷走了代币,他可以用它假装自己是其他人。这与使用用户/密码组合的唯一区别在于,JWT令牌在一段时间后会过期,所以攻击者没有太多时间来做他的事情 我的理解正确吗?我错过了什么 是的,它确实需要交换一次配对,但与每次必须进行API调用相比,这仍然
也许我应该把这个贴在InformationSecurityStackExchange上?我能移动它而不是在那里创建重复的问题吗?