问题描述:JWT 弱加密问题指的是使用不安全的哈希算法(如 HS256 配合弱密钥)或对称加密密钥管理不当,导致攻击者可以伪造或篡改 Token,从而绕过身份验证。风险程度:中危
不知道怎么修改与配置,谢谢
首先,jwt在不知道sign-key的前提下是不可能被伪造的,其次jwt保存的也只是基础数据,只有id和名字,没有密码等信息,就算摆明了给人看也是不会有安全风险的。
最后为了满足他们的要求,你可以用令牌加密:https://center.javablade.com/blade/BladeX-Doc/src/branch/master/%E7%AC%AC5%E7%AB%A0%20%E5%8A%9F%E8%83%BD%E7%89%B9%E6%80%A7/5.3%20Secure%E5%AE%89%E5%85%A8%E6%A1%86%E6%9E%B6/5.3.6%E4%BB%A4%E7%89%8C%E5%8A%A0%E5%AF%86%E4%BC%A0%E8%BE%93.md
Cookie还是有未加密的token
扫一扫访问 Blade技术社区 移动端
加载中...
苏公网安备 32041102000998号