一、该问题的重现步骤是什么?
https://sns.bladex.cn/q-13878.html 追问
为何不考虑在/oauth/token password登录接口响应出来的token的就加密呢?可以实现吗?
在现有的token加密传输功能中,/oauth/token 这里传输的给前端在加密,前端获取的过程是没有实现token传输加密的
不考虑,jwt本身设计不是漏洞。如果觉得有风险,我们可以约个时间,爆破一下我们的系统,爆破成功有1w现金奖励。
如果token返回加密,会更加不安全,因为攻击者直接拿着加密token串就能调用所有接口了,都不需要去研究怎么把明文token加密。直接就能调用加密接口了,那之前做的所有加密接口逻辑都没有意义了。
如果你们真觉得jwt不安全(至少我们认为目前的设计是安全的,还没有人从我们手里拿走过这1w现金),可以给jwt只返回一个用户id,每次请求用户信息的时候从redis取,但这样就只能强制系统为有状态模式了,无状态认证就不存在了。
扫一扫访问 Blade技术社区 移动端
加载中...
苏公网安备 32041102000998号