JWT Token Security 漏洞及可能的解决方案请求
JWT Token Security vulnerability and request for possible solution
我对 JWT 的安全方面有疑问。
考虑使用 JWT 作为其网关安全性的 X 应用程序。并且此令牌在原点后 3 分钟内有效。
所以场景如下:
X 应用登录在UI 结束。因此 UI 调用必须首先转到网关并获取创建的 JWT 令牌。因此响应发送回 UI。因此,来自 UI 的进一步请求将使用 JWT 令牌发送到服务层。这次 Gateway 验证了请求 header 中持有的令牌。并且它允许进一步到服务层。
这最重要的过程发生在令牌的第一分钟,因此在 UI 中暴露的 JWT 令牌通过简单地使用开发工具结束,我们可以找到。
现在任何拥有 API 服务 URL 的人都可以使用此 JWT 令牌并访问我们的 API 服务,对吗?这不是安全问题吗? ?或者有什么办法可以解决这个问题?
假设有人从客户端窃取了 JWT 令牌。
您的 JWT 令牌应该是唯一的,因为它包含只能验证 单个 user/entity 的信息。这意味着此令牌 授权 可以由单个 user/entity.
完成的操作
最重要的是,您应该只允许您信任的来源 gateway/api 这可以通过 CORS 和 CSRF 来完成。这将使令牌无法使用,除非您的客户端 (UI) 来源。
我对 JWT 的安全方面有疑问。 考虑使用 JWT 作为其网关安全性的 X 应用程序。并且此令牌在原点后 3 分钟内有效。
所以场景如下:
X 应用登录在UI 结束。因此 UI 调用必须首先转到网关并获取创建的 JWT 令牌。因此响应发送回 UI。因此,来自 UI 的进一步请求将使用 JWT 令牌发送到服务层。这次 Gateway 验证了请求 header 中持有的令牌。并且它允许进一步到服务层。
这最重要的过程发生在令牌的第一分钟,因此在 UI 中暴露的 JWT 令牌通过简单地使用开发工具结束,我们可以找到。
现在任何拥有 API 服务 URL 的人都可以使用此 JWT 令牌并访问我们的 API 服务,对吗?这不是安全问题吗? ?或者有什么办法可以解决这个问题?
假设有人从客户端窃取了 JWT 令牌。
您的 JWT 令牌应该是唯一的,因为它包含只能验证 单个 user/entity 的信息。这意味着此令牌 授权 可以由单个 user/entity.
完成的操作最重要的是,您应该只允许您信任的来源 gateway/api 这可以通过 CORS 和 CSRF 来完成。这将使令牌无法使用,除非您的客户端 (UI) 来源。