oken加密传输功能疑问

Blade 未结 1 307
yinhaibo
yinhaibo 剑圣 2025-03-05 13:40


一、该问题的重现步骤是什么?

https://sns.bladex.cn/q-13878.html 追问

 为何不考虑在/oauth/token password登录接口响应出来的token的就加密呢?可以实现吗?

在现有的token加密传输功能中,/oauth/token 这里传输的给前端在加密,前端获取的过程是没有实现token传输加密的


1条回答
  • 2025-03-05 13:42

    不考虑,jwt本身设计不是漏洞。如果觉得有风险,我们可以约个时间,爆破一下我们的系统,爆破成功有1w现金奖励。

    如果token返回加密,会更加不安全,因为攻击者直接拿着加密token串就能调用所有接口了,都不需要去研究怎么把明文token加密。直接就能调用加密接口了,那之前做的所有加密接口逻辑都没有意义了。

    如果你们真觉得jwt不安全(至少我们认为目前的设计是安全的,还没有人从我们手里拿走过这1w现金),可以给jwt只返回一个用户id,每次请求用户信息的时候从redis取,但这样就只能强制系统为有状态模式了,无状态认证就不存在了。

    0 讨论(0)
提交回复