国产+高潮+在线,国产 av 仑乱内谢,www国产亚洲精品久久,51国产偷自视频区视频,成人午夜精品网站在线观看

關(guān)于tinywan/jwt刷新令牌的安全問題

mrcmf

問題描述

我們有個(gè)項(xiàng)目中使用到了tinywan/jwt的插件,在開發(fā)時(shí)發(fā)現(xiàn)在使用刷新令牌請(qǐng)求接口時(shí),是無法獲取到令牌中的自定義信息,因此無法對(duì)刷新令牌的持有者進(jìn)行安全校驗(yàn)(校驗(yàn)請(qǐng)求者的IP地址與登錄時(shí)是否一致,否則返回401觸發(fā)刷新令牌去更新token中的信息),請(qǐng)問大家是如何確保refresh_token不被盜用的?

截圖

1099 4 0
4個(gè)回答
sanergo

1.你生成token的時(shí)候有沒有傳ipaddr進(jìn)去,沒有肯定獲取不到了
2.refreshToken只能由用戶保證自己安全,就好比你的銀行卡賬號(hào)和密碼都讓別人拿到了,然后錢被盜了,你不能完全怪銀行沒保證安全性吧,雖然銀行會(huì)有部分安全驗(yàn)證,但是大部分情況下時(shí)無效的。
3.就算你要在服務(wù)端保證安全,那么用ip時(shí)肯定不行的。比如你在家用的wifi,但是取外面了用的流量(ip變了),然后你的系統(tǒng)就不讓人用了,或者讓人重新登陸才行?

  • mrcmf 2024-05-21

    感謝,我已制定方案解決此事
釋永戰(zhàn)

安全性那么重要的話建議不要用jwt了···

  • mrcmf 2024-05-21

    感謝,我已制定方案解決此事
Tinywan

refresh_token 都被盜用了,你電腦還安全嗎?

  • 暫無評(píng)論
Tinywan

推薦配合:Exception 異常插件 http://wtbis.cn/plugin/16

看到你的哪個(gè)返回格式有點(diǎn)難受呀!

  • mrcmf 2024-05-21

    好的,我去看一下,謝謝
年代過于久遠(yuǎn),無法發(fā)表回答
??