SSL 和 JWT 的区别

Question

我一直在阅读并试图理解浏览器端安全性的差异。据我所知，SSL 用于防止人们嗅探您发送到服务器的流量。这允许您以明文形式向服务器发送密码......对吗？只要您处于 SSL 加密会话中，您就不必担心首先对密码进行哈希处理或任何奇怪的事情，只需将其与用户名一起直接发送到服务器即可。在用户进行身份验证后，您向他们发送回一个 JWT，然后所有未来对服务器的请求都应该包含这个 JWT，假设他们正在尝试访问一个安全区域。这使得服务器甚至不必检查密码，服务器所做的只是验证签名，这就是服务器所关心的。只要签名得到验证，您就可以向客户提供他们要求的任何信息。我错过了什么吗？

Answer 1

你是对的。 “这使得服务器甚至不必检查密码。”为什么您必须在每个请求上检查密码？

JWT 是一种验证身份验证的方法。它是在成功的身份验证请求时生成的，因此与每个请求一起传递以让服务器知道该用户已通过身份验证。

它可用于存储任意值，例如user_id 或api_key，但它们不是很安全，所以不要在此处存储任何有价值的信息。

但要小心，如果一个普通的 JWT 被第三方拦截，它可能会假设这个用户的会话和可能的数据。

SSL 是一种较低级别的安全形式，它对来自和发往服务器的每个请求进行加密，以防止拦截并保持完整性。 SSL 是通过（购买）SSL 证书并将其安装在您的服务器上来实现的。基本上，SSL 证书是将加密密钥绑定到“组织”的小型数据文件。安装成功后，可以进行 HTTPS 请求（默认在 443 端口）。