jwt로 가능합니까?

Question

json 웹 토큰을 기반으로 보안을 구현하기로 결정했지만 한 가지 질문이 있습니다. 내가 사용자 Tom이 있고 내 서버에 요청한다고 가정 해 보겠습니다. 응답으로 그는 jwt 토큰을 얻을 것이다. Tom의 모든 후속 요청에는이 jwt가 포함됩니다. 누군가가 wireshark 또는 sth를 사용하여 자신의 jwt를 포착하고 자신의 지식없이 Tom을 대신하여 요청할 수 있습니까? 서버에서 persperctive jwt 유효합니다

Answer 1

예 가능합니다. 그것은 "재생 공격"이라고합니다. HTTPS를 사용하면 훨씬 더 어렵게 만들지 만 HTTPS에서도 여전히 가능합니다. 관련 토론은 예를 들어 여기에서 찾을 수 있습니다. https://stackoverflow.com/a/2770200/43848

Answer 2

예. JWT를 가진 사람이면 누구나 흉내낼 수 있습니다. 공격자가 교환 된 메시지에서 토큰을 캡처하고 보안 저장소에 토큰을 보관하지 못하도록 https를 사용하십시오.