json 웹 토큰을 기반으로 보안을 구현하기로 결정했지만 한 가지 질문이 있습니다. 내가 사용자 Tom이 있고 내 서버에 요청한다고 가정 해 보겠습니다. 응답으로 그는 jwt 토큰을 얻을 것이다. Tom의 모든 후속 요청에는이 jwt가 포함됩니다. 누군가가 wireshark 또는 sth를 사용하여 자신의 jwt를 포착하고 자신의 지식없이 Tom을 대신하여 요청할 수 있습니까? 서버에서 persperctive jwt 유효합니다jwt로 가능합니까?
0
A
답변
1
예 가능합니다. 그것은 "재생 공격"이라고합니다. HTTPS를 사용하면 훨씬 더 어렵게 만들지 만 HTTPS에서도 여전히 가능합니다. 관련 토론은 예를 들어 여기에서 찾을 수 있습니다. https://stackoverflow.com/a/2770200/43848
1
예. JWT를 가진 사람이면 누구나 흉내낼 수 있습니다. 공격자가 교환 된 메시지에서 토큰을 캡처하고 보안 저장소에 토큰을 보관하지 못하도록 https를 사용하십시오.
관련 문제
- 1. auth0 jwt로 사용자를 식별하는 방법
- 2. JWT로 ADFS 및 네이티브 앱 인증
- 3. JWT로 사용자 데이터를 처리하는 모범 사례
- 4. 지속적으로 오류가 발생하여 JWT로 JWT 사용하기
- 5. rs.EOF = True 가능합니까? 어떤 조건이라면 vb6.0에서 가능합니까?
- 6. Quartz로 연속 드로잉이 가능합니까? 프레임 단위로 가능합니까?
- 7. 제네릭으로 가능합니까?
- 8. HTML5에서도 가능합니까?
- 9. AngularJS로 가능합니까?
- 10. 이 가능합니까?
- 11. 이 가능합니까?
- 12. JSON에서 가능합니까?
- 13. 가능합니까? (C++)
- 14. Html.pagedListPager 가능합니까?
- 15. StageWebView는 가능합니까?
- 16. Subsonic에서 가능합니까?
- 17. Linq에서 가능합니까?
- 18. SQL로 가능합니까?
- 19. 재배포가 가능합니까?
- 20. MySQL : 가능합니까?
- 21. 이 가능합니까?
- 22. 이게 가능합니까?
- 23. 이 가능합니까?
- 24. SQL로 가능합니까?
- 25. 레일이 가능합니까?
- 26. 래퍼가 가능합니까?
- 27. Ruby에서 가능합니까?
- 28. 이것이 가능합니까?
- 29. 센터링이 가능합니까?
- 30. 템플릿 연산자 [] ... 가능합니까? 유능한?