我最近使用DotNet核心身份实现JWT Auth。
我知道减少获得Access-Token的身份验证的数量(当它在短时间内过期以提高安全性时,我们使用Refresh-Token来更新访问令牌,而不是重新进行身份验证。
[我认为如果中间人试图窃取Refresh-Token以获取新的Access-Token并发出请求(劫持令牌),系统将如何找到它并拒绝该请求?
我的意思是,如果JWT被某人盗用以模仿,服务器识别并拒绝它,有解决方案吗? (我知道SSL可以提供帮助,但我正在考虑其他方法。例如,通过时间和IP或....对JWT进行加密))>
我最近使用DotNet核心身份实现JWT Auth。我知道要减少获取Access-Token的身份验证的数量(当它在短时间内过期以提高安全性时),我们使用Refresh-Token ...
假设您在服务器和客户端之间使用两种方式的SSL,那么您所关心的主要是讨论。原因是任何中间人,如果他找到一种拦截方法,甚至都不知道JWT的开始和结束位置。相反,他只会陷入一些编码混乱。假设,如果某人拥有JWT,则可以,他可能可以模拟您的一个用户。这与窃取信用卡然后伪装成所有者的人没有什么不同。但是,由于SSL,这种情况发生的可能性很小。