我一直在研究 JWT,我对使用它非常感兴趣。由于数字签名和有效负载内容,我喜欢它不需要对服务器进行状态检查。
我遇到的困难是验证客户。我知道签名允许服务器说“是的,我发出了这个令牌,它是有效的”,但我不完全理解服务器如何验证客户端就是它所说的那个人。
数字签名在服务器端是有意义的,但客户端不能签署任何东西来验证它是谁,因为浏览器不能保密。这是我无法理解的一部分。如果浏览器无法保密,它如何将数据添加到令牌(如随机数,或有关它请求的资源的信息)以包含在签名中,类似于 oAuth 1.0 的工作方式。
不支持吗?还有其他方法可以验证浏览器的身份吗?如果我的客户有泄漏令牌的安全漏洞怎么办?如果客户端没有经过验证,任何人都不能使用这些令牌吗?我不认为“短过期时间”是解决这个问题的好方法。
有人可以帮我了解一下 JWT 的这一部分吗?
【问题讨论】:
标签: javascript json validation authentication jwt
为了补充 Tim B 所说的,我使用了令牌,其中密钥具有浏览器和 ip,如下所示:(PHP 示例)
$secret_key = 'kajsdfkljk' . $_SERVER['REMOTE_ADDR'] . $_SERVER['HTTP_USER_AGENT'];
这似乎确实有效,但是,如果您在网络之间跳来跳去,那么您每次都必须登录,在这种情况下,您可以只使用用户代理而不是 ip。
这里要注意的另一件事是,如果发生某种泄漏,您可以随时更改密钥,这样从您的服务器发出的所有令牌都将不再有效。
此外,如果不使用 https 连接,使用令牌进行身份验证可能非常危险。
【讨论】:
验证客户端没有受到威胁实际上是不可能的,因为它肯定会泄漏令牌。令牌过期有助于减轻泄漏令牌的危险时间过长,但正如您所提到的,这不是一个万无一失的解决方案。您可以使用请求用户的当前 IP 地址作为签名密钥的一部分来做一些事情,以帮助减轻在其他地方使用泄露的令牌。它仍然可以在本地通过 XSS 使用,但不那么容易被网络钓鱼者使用。
我的理解是客户端不会向令牌添加信息,它只会在附加信息旁边传递它。单独的 POST 变量 -- 用于“验证”身份的令牌,其他变量用于定义附加参数。
【讨论】: