Refresh-Token (JWT) 如何避免中间人攻击?

【问题标题】:How do Refresh-Token (JWT) avoid to man-of-the middle attack?Refresh-Token (JWT) 如何避免中间人攻击?
【发布时间】:2020-05-12 00:39:03
【问题描述】:

我最近使用 DotNet 核心身份实现了 JWT 身份验证。

我知道要减少身份验证的次数以获取 Access-Token(当它在短时间内过期以提高安全性时)我们使用 Refresh-Token 来更新 access-token 而不是重新身份验证。

我认为如果中间人试图窃取 Refresh-Token 以获取新的 Access-Token 并发出请求(劫持令牌),系统如何找到它并拒绝该请求?

我的意思是,如果 JWT 被某人盗用冒充,服务器识别它并拒绝它,是否有解决方案? (我知道 SSL 可以提供帮助,但我正在考虑其他方式。例如,按时间和 Ip 加密 JWT 或 ....?)

【问题讨论】:

    标签: authentication .net-core jwt authorization


    【解决方案1】:

    假设您在服务器和客户端之间使用两种方式的 SSL,那么您的担忧主要是没有实际意义的。原因是任何中间人,如果他找到拦截的方法,甚至都不知道 JWT 从哪里开始和结束。相反,他只会被一些编码的混乱所困。假设,如果有人持有 JWT,那么是的,他可能能够冒充您的一个用户。这与偷信用卡然后伪装成所有者没有什么不同。但是,由于 SSL,这种情况发生的可能性很小。

    【讨论】:

    • 你的意思是不需要担心客户端用户内部的JWT劫持?
    • 当然这是一个问题,因此如果你在谈论一个网站,你不应该将 JWT 存储到 cookie 或本地存储等。但是你强调的问题不仅限于 JWT ,对于所有数据都是一个问题。
    • @Mohammad 如果您真的担心 JWT 被劫持,请遵循银行和其他类似安全网站使用的模式。他们发出的所有令牌(身份验证和刷新)都非常短暂,最多几分钟。因此,现在即使有人劫持了令牌,他们也必须非常快速地获取和使用它,从而进一步降低您的风险(除了 SSL 已经为您提供的保护之外)。
    • 是的,我想是的,我发现使用 SSL 并减少 Access-Token 的过期时间并将 JWT 存储在浏览器中的安全位置,我们可以将模拟的风险降低到接近 0%。跨度>
    猜你喜欢
    • 1970-01-01
    • 2011-04-25
    • 1970-01-01
    • 2016-03-10
    • 2018-08-31
    • 1970-01-01
    • 2011-03-17
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode