我需要对与 REST api 通信的移动应用程序的用户进行身份验证。
经过一番研究,我发现了两种方法:
所以我对 JWT 有疑问:
如果我使用 HTTPS 连接,有人可以窃取令牌吗?(例如中间没有人)
API 必须为每个请求发送一个新令牌?(这样我可以减少令牌的生命周期?)。
为了避免用户重新连接,我需要使用刷新令牌,可以是另一个JWT吗?
【问题讨论】:
标签: android ios rest security jwt
【讨论】:
因为您使用的是自己的数据库,所以 JWT 是您的最佳选择。
1- 如果我使用 HTTPS 连接,有人可以窃取令牌吗?:- 是的,他们可以窃取令牌,mitma 是可能的,但即使他们会修改令牌,您的服务器也会通过验证令牌并验证令牌的颁发者来了解(您的客户端和服务器可以使用私钥来加密在客户端响应并在服务器端解密和验证)
2- API 必须为每个请求发送一个新令牌? (这样我可以减少令牌的生命周期?)。 是的,每个令牌都会有所不同,JWT 令牌是您的帖子数据和发行者、主题和其他附加数据的加密形式。所以如果你的post数据每次都不一样,token也会不一样。
3-为了避免用户重新连接,我需要使用刷新令牌,可以是另一个JWT吗? 不需要另一个 JWT。
您可以使用 Jawa JWT 库:- 访问 https://github.com/auth0/java-jwt
并使用这个类来创建、验证和解码 JWT 令牌。
public class JWTTokenVerifier {
public String CreateToken(String body) {
String token = "";
try {
Algorithm algorithm = Algorithm.HMAC256(Constants.APP_SECRET);
token = JWT.create()
.withClaim("body", body)
.withIssuer("auth0")
.sign(algorithm);
} catch (JWTCreationException exception) {
//Invalid Signing configuration / Couldn't convert Claims.
exception.printStackTrace();
}
System.out.println("TOKEN IS > " + token);
return token;
}
public void verifyTokenAndDecodeResponse(String token) {
try {
Algorithm algorithm = Algorithm.HMAC256(Constants.APP_SECRET);
JWTVerifier verifier = JWT.require(algorithm)
.build(); //Reusable verifier instance
DecodedJWT jwt = verifier.verify(token);
String payload = jwt.getPayload();
Base64 base64Url = new Base64(true);
payload=new String(base64Url.decode(payload));
System.out.println("payload is " + payload);
} catch (JWTVerificationException exception) {
System.out.printf("Unable to parse token");
exception.printStackTrace();
}
}
}
【讨论】: