- iOS/Objective-C 元类和类别
- objective-c - -1001 错误,当 NSURLSession 通过 httpproxy 和/etc/hosts
- java - 使用网络类获取 url 地址
- ios - 推送通知中不播放声音
我使用 Spring 创建了一些 REST API,并使用 JWT 实现了 Spring Security 以进行身份验证。我的前端运行 AngularJs 并使用这些接收 JSON 响应的其余 API。 JWT 身份验证工作正常,但它允许简单地将请求参数和 header 从浏览器的控制台复制并粘贴到 Postman 或任何其他 REST 客户端,以获取成功的响应,即使是来自后端 protected API。
我试图通过在 JWT 中使用 JTI 声明来解决这个问题。我计划为每个请求后身份验证使用不同的 JTI 值,这样简单地从浏览器窃取 header 是行不通的。
现在在网上查阅了大量可用资源后,我仍然不清楚是客户端还是服务器应该在 JWT 中设置 JTI 值。
根据我的理解,如果我在服务器端执行此操作,我将不得不在每个响应中发送一个新的 JWT,并在客户端的下一个请求中期望它,同时在数据库中维护已用 JTI 的记录。但是,如果攻击者弄清楚了这一点,他们只需要使用来自先前请求的 token ,此后他们就可以轻松地与我的 API 进行交互。
另一方面,如果我在客户端执行此操作,我将必须在 javascript 代码中保留 JWT 的 secret 签名 key 和 JTI 生成逻辑,以便它可以附加 JTI 值并散列再次 token 。那么我的问题是:
非常感谢任何帮助。长期以来一直坚持这一点。
最佳答案
我无法谈论 Java/Spring,但我可以尝试澄清您对 JWT 和 JTI 声明的担忧。
实现 JTI 以唯一标识 JWT 有助于防止 replay attacks攻击者发送相同的 JWT 来发出请求。服务器将生成 JTI 值并在每次响应时将其与新的 JWT 一起发送。当接收到一个新请求时,服务器必须验证 JTI 值(以确保它以前没有被使用过)。实现这一点确实需要在服务器上进行某种持久性存储,这看起来或多或少类似于传统 session ,因此感觉有点奇怪,因为 JWT 的广告优势之一是“无状态应用程序”。
您对中间人攻击的担忧是完全正确的:如果有人确实拦截了 JWT(及其一次性 JTI),然后在您之前发出请求,他们的请求将被考虑有效,您的后续请求将在服务器上显示为“重播”(并且服务器会认为它们无效)。
关于java - 如何正确使用 JTI 声明和 JWT 来防止重放攻击?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/44658963/
我在覆盖 ReSwift Pod 中的函数时遇到问题。我有以下模拟类(class): import Foundation import Quick import Nimble import RxSwi
我有一个类似于下面的继承结构。我正在采用 Printable 协议(protocol)并努力覆盖 description 属性。我遇到了一个谷歌此时似乎不知道的奇怪错误,提示为第三类,并引用了第二类和
我有一个类“Cat”和 Cat 类的一个子类“DerivedCat”。 Cat 有一个函数 meow(),而 DerivedCat 覆盖了这个函数。 在应用程序中,我声明了一个 Cat 对象: Cat
Kotlin 变量 变量是用于存储数据值的容器。 要创建一个变量,使用 var 或 val,然后使用等号(=)给它赋值: 语法 var 变量名 = 值 val 变量名 = 值 示例 va
C 中的所有标识符在使用前都需要声明,但我找不到它在 C99 标准中表示的位置。 我觉得也是指宏定义,不过定义的只是宏展开顺序。 最佳答案 C99:TC3 6.5.1 §2,脚注 79 明确指出: T
今天我的博客提要显示错误: This page contains the following errors: error on line 2 at column 6: XML declaration
在编写 IIF 语句、表和下面给出的语句时出现错误。 陈述: SELECT IIF(EMP_ID=1,'True','False') from Employee; table : CREATE TAB
我正在创建一个登录 Activity ,我希望它在按下登录按钮时显示进度对话框,我声明、初始化并调用了它,但它没有显示。但是当我在创建时调用进度对话框时,它出现了 这是我的代码: public cla
当我输入声明语句时: Vector distance_vector = new Vector(); 我收到错误(在两种情况下都在“双”下划线): Syntax error on token "doub
我正在本地部署在docker-for-desktop中。这样我将来可以迁移到kubernetes集群。 但是我面临一个问题。使用永久卷时,docker容器/ pod中的目录将被覆盖。 我正在拉最新的S
我有一个 MyObject 类型的对象 obj,我声明了它的实例。 MyObject obj; 但是,我没有初始化它。 MyObject 的类看起来像: public class MyObject {
关闭。这个问题是opinion-based 。目前不接受答案。 想要改进这个问题吗?更新问题,以便 editing this post 可以用事实和引文来回答它。 . 已关闭 9 年前。 Improv
这个问题已经有答案了: Android: Issue during Arraylist declaration (1 个回答) 已关闭 9 年前。 有时我会看到 ArrayList 声明如下 Arra
我对java比较陌生,经过大量搜索,我无法将相关问题的任何解决方案与我的解决方案配对。我正在尝试实现一种非常简单的方法来写入/读取数组,但编译器无法识别它。 “键盘”也是一个“无法识别的变量”。这是数
简短:何时分配内存 - 在声明或初始化时? 长整型:int x;将占用与int z = 10;相同的内存。 此外,这对于包含更多数据的自定义对象将如何工作。假设我有这个对象: public class
我需要使用此程序更好地理解函数定义、声明和正确调用。我真的需要了解如何使用它们。您能否向我展示编写此程序的正确方法(所有三个都正确并进行解释)? #include #include quad_eq
这是我的主要功能以及我要传递的内容。 int main(void){ struct can elC[7]; // Create an array of stucts Initiali
我想知道是否有更好的方法来完成此任务; 我有一个对象 - 其中一个属性是字典。我有一组逗号分隔值。我需要过滤 Dictionary 并仅获取 Dictionary 值至少与其中一个值匹配的那些元素 这
下面的using-declarations有什么意义 using eoPop::size; using eoPop::operator[]; using eoPop::back; using eoPo
我的问题更像是一个关于 for 循环样式的好奇问题。在阅读别人的一些旧代码时,我遇到了一种我以前从未见过的风格。 var declaredEarlier = Array for(var i=0, le
我是一名优秀的程序员,十分优秀!