开发者社区> 问答> 正文

基于JWT的Token认证的安全问题有哪些?

基于JWT的Token认证的安全问题有哪些?

展开
收起
芯在这 2022-03-15 16:52:54 6920 0
1 条回答
写回答
取消 提交回答
  • 1.确保验证过程的安全性

    如何保证用户名/密码验证过程的安全性;因为在验证过程中,需要用户输入用户名和密码,在这一过程中,用户名、密码等敏感信息需要在网络中传输。因此,在这个过程中建议采用HTTPS,通过SSL加密传输,以确保通道的安全性

    2.如何防范XSS Attacks

    XSS攻击代码过滤

    移除任何会导致浏览器做非预期执行的代码,这个可以采用一些库来实现(如:js下的js-xss,JAVA下的XSS HTMLFilter,PHP下的TWIG);如果你是将用户提交的字符串存储到数据库的话(也针对SQL注入攻击),你需要在前端和服务端分别做过滤;

    采用HTTP-Only Cookies

    通过设置Cookie的参数: HttpOnly; Secure 来防止通过JavaScript 来访问Cookie; 在Java中设置cookie是HttpOnly,升级Tomcat7.0,它已经实现了Servlet3.0

    3.如何防范Replay Attacks

    所谓重放攻击就是攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程。比如在浏览器端通过用户名/密码验证获得签名的Token被木马窃取。即使用户登出了系统,黑客还是可以利用窃取的Token模拟正常请求,而服务器端对此完全不知道,以为JWT机制是无状态的。

    2022-03-15 16:54:02
    赞同 展开评论 打赏
问答地址:
问答排行榜
最热
最新

相关电子书

更多
安全机制与User账户身份验证实战 立即下载
低代码开发师(初级)实战教程 立即下载
阿里巴巴DevOps 最佳实践手册 立即下载