讨论数量:
所有的 token 都有这个问题啊,有个简单的解决方案就是签发 token 的时候把用户的 ip 也放到 jwt 的 payload 里,每次交易 token 的同时也校验 ip
最極端的情況也只有用戶本人的電腦被人入侵並盜取 Token
不過這種漏洞不容易發生大規模的危害,頂多就是 1. 2 個用戶會發生,因解析及簽發 JWT 的 Secret 仍在你的 Server 上
要防範的話可能得紀錄使用者每次登入的 IP,若有差異即通知使用者,由使用者決定是否要加強帳號安全性
产生这个疑问的原因是没有明白JWT是什么,JSON Web Tokens 的缩写,解决的是认证与授权的问题,至于Token被劫持,中间人攻击等和别的认证方式一样都是会存在的,解决方法也是有的
1.使用HTTPS
2.登录成功返回JWT时记录下客户端的IP
推荐文章: