让我们以使用 JWT 令牌身份验证 和 RSA 算法的 Web 应用程序为例。以下是身份验证过程的步骤:
header + payload
并将生成的JWT令牌发送到前端现在,如果攻击者制作了一个恶意令牌并且前台用它发出请求。请求不会成功,因为不会使用服务器私钥(最后一步)生成精心制作的令牌。
那么,在简单的 JWT 身份验证场景中,确保后台是发行者的意义何在?在我看来,验证是使用 JWT 的结果,在通过 JWT 令牌进行简单身份验证过程的情况下没有用。
确保前端收到的token issuer可以防止什么样的攻击?
似乎只有在负载携带影响本地应用程序安全行为的其他数据(例如,禁止最终用户在本地访问应用程序的某些部分)的情况下才相关,但它不会成为安全问题,以防万一一个经典的网络应用程序。
在我看来,验证是使用 JWT 的结果,在通过 JWT 令牌进行简单身份验证过程的情况下没有用处。我想澄清该安全措施有用的问题或网络攻击场景。