我正在通过 JWT 身份验证。看起来不错。但是我有一个问题,JWT 身份验证是否容易受到中间人攻击?有人可以在发送时获得此 token 吗?如果是这样,那么使用 token 和假请求(显然具有正确的 url)就可以获取数据?
这是否是一个有效的场景?
欢迎任何意见
最佳答案
不使用 https 的 JWT 容易受到中间人攻击,您应该将其与 https 协议(protocol)一起使用以最大程度地降低风险。
您可以通过将客户端的 IP 地址添加为 JWT token 的私有(private)声明并对其进行验证来使其更加安全。
关于security - JWT token - 中间人攻击,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/49424639/