我有一个问题很久了,JWT 真的安全吗?因为在对声明和有效负载进行编码时,我们可以轻松地对令牌进行解码,并且该解码也可以在该网站上很好地提供。所以我的观点是,任何人都可以使用 burpsuite 之类的工具或任何东西简单地更改 auth 标头,并提供一些其他有效令牌并验证假用户。按照许多人的建议将令牌存储在 localStorage 中也可能不太安全。所以我的问题是,与加密的 cookie 或会话相比,它真的安全吗?无状态认证的好处是什么?我读了很多文章,JWT 对 Single Page App 有好处。这是真的吗?
【问题讨论】:
标签: security authentication jwt single-page-application stateless
访问令牌通常在调用者出示其硬凭证(例如用户名和密码)后发出。要访问受保护的资源,调用者需要将访问令牌发送到服务器以对每个请求执行身份验证。
在 Web 应用程序中,访问令牌不应被存储在本地存储中的 JavaScript 访问。相反,访问令牌应该通过 HTTPS 连接发送并存储在设置了 Secure 和 HttpOnly 标志的 cookie 中:
Secure属性将 cookie 的范围限制为“安全” 通道(其中“安全”由用户代理定义)。当一个 cookie 具有 Secure 属性,用户代理将包括 仅当请求通过 安全通道(通常是 HTTP over Transport Layer Security (TLS))。 [...]
4.1.2.6. The HttpOnly Attribute
HttpOnly属性将 cookie 的范围限制为 HTTP 要求。特别是,该属性指示用户代理 通过“非 HTTP”API 提供对 cookie 的访问时省略 cookie (例如向脚本公开 cookie 的 Web 浏览器 API)。 [...]
在 JWT 中,有效负载是编码为 Base64 的 JSON 字符串。所以它不适合存储密码等敏感信息。
签名令牌允许服务器执行无状态身份验证,即仅通过检查访问令牌内容来判断用户是谁。服务器不会依赖外部服务来对用户进行身份验证。
JWT 令牌应使用强加密密钥(必须在服务器上保持安全)进行签名,并且必须在信任令牌之前检查签名。 p>
【讨论】: