这就是它的工作原理吗?我有一个订阅支付确认REST端点,但任何经过身份验证的人都可以访问它
我在我的REST端点上使用JWT身份验证,但一旦您创建了一个帐户,您就可以选择购买订阅 但是,购买端点是发布到这就是它的工作原理吗?我有一个订阅支付确认REST端点,但任何经过身份验证的人都可以访问它,rest,authentication,curl,jwt,Rest,Authentication,Curl,Jwt,我在我的REST端点上使用JWT身份验证,但一旦您创建了一个帐户,您就可以选择购买订阅 但是,购买端点是发布到/subscribe/new,如果任何人从会话存储中获得jwt,他们几乎可以向端点发出CURL请求并购买订阅 这就是它的工作原理吗?我如何阻止某人只是做CURL来购买订阅?显然,他们需要在身体中提供额外的信息,比如他们的支付细节和东西,但如果他们这样做,那么只要他们有代币,它就会通过 因此,如果一个坏人以某种方式从用户的会话存储中获取JWT,他们几乎可以造成严重破坏,对吗?你无法避免有人
/subscribe/new因此,如果一个坏人以某种方式从用户的会话存储中获取JWT,他们几乎可以造成严重破坏,对吗?你无法避免有人向你的端点发送请求。看 因此,假设这是可能发生的,如果这对您来说是一种风险,请做好准备:
- 不要使用此JWT授权访问服务
- 对受限操作使用额外的身份验证因素:密码、短信等
- 请求所需的数据并在授权访问之前对其进行验证:例如信用卡号