使用 HTTPS 的弱点 JWT
Weakness JWT with HTTPS
最近打算做手机APP,考虑JWT的auth
我听说劫持访问令牌的保护技能正在服务刷新令牌。
但是如果应用程序使用 HTTPS,则令牌在远程通信中永远不会被解码。因为 HTTPS 在 HTTP header.
中加密身份验证
因此,在使用 HTTPS 的情况下,仅提供访问令牌是没有问题的。我觉得...
我是新手,所以可能会错过逻辑或其他东西。你能回答这个问题吗?
谢谢。
HTTPS 只是一种传输保护,您今天应该始终使用它,这是最佳做法。
您收到用于访问 API 的访问令牌,因此您将它连同请求一起发送到 API 以验证 user/client。
但与此同时,您希望对访问令牌的有效期设置时间限制,例如 1 天、1 小时或 2 分钟。
作为客户端,您将获得一个额外的令牌(刷新令牌),您可以使用它来请求新的访问令牌。
所以,这两个令牌有不同的用途。
最近打算做手机APP,考虑JWT的auth
我听说劫持访问令牌的保护技能正在服务刷新令牌。
但是如果应用程序使用 HTTPS,则令牌在远程通信中永远不会被解码。因为 HTTPS 在 HTTP header.
中加密身份验证因此,在使用 HTTPS 的情况下,仅提供访问令牌是没有问题的。我觉得...
我是新手,所以可能会错过逻辑或其他东西。你能回答这个问题吗?
谢谢。
HTTPS 只是一种传输保护,您今天应该始终使用它,这是最佳做法。
您收到用于访问 API 的访问令牌,因此您将它连同请求一起发送到 API 以验证 user/client。
但与此同时,您希望对访问令牌的有效期设置时间限制,例如 1 天、1 小时或 2 分钟。
作为客户端,您将获得一个额外的令牌(刷新令牌),您可以使用它来请求新的访问令牌。
所以,这两个令牌有不同的用途。