s*****w 发帖数: 1527 | 1 2个web service之间交流,header用jwt token放user info。
问题是是,如果用https,传输当中能被人读出header吗? |
s*****w 发帖数: 1527 | 2 No matter how many security engineers u employ ,ur site cannot be 100 %
secure.
Https
It is not like any kind of spell u apply on a site and it becomes 100%
secure.
It is just a added layer of security which enables a encrypted conversation
between the nodes(computers).
It does prevent Man in the Middle ( MITM)
So it comes handy only in the situation when someone sitting in the middle
of our network and intercept our messages.
Https can not prevent user input data to the server. |
s*****w 发帖数: 1527 | 3 can not prevent user input data to the server. 问题是,如果是这样,jwt也不是
一样没用? |
p*a 发帖数: 592 | 4 jwt有signature,可以验证没有被tamper ,所以只要发jwt token的server没有被hack
,应该问题不大
【在 s*****w 的大作中提到】 : can not prevent user input data to the server. 问题是,如果是这样,jwt也不是 : 一样没用?
|
s********g 发帖数: 9 | 5 jwt是用来做authentication, SSL/TLS是用来做Encryption的吧,这两个用途不一样吧
。 |
s*****w 发帖数: 1527 | 6 authentication是ui跟backend service之间的事情,
我们的情况是2个backend services之间用jwt,在同一个公司的aws框架下面,个人觉
得毫无意义。
【在 s********g 的大作中提到】 : jwt是用来做authentication, SSL/TLS是用来做Encryption的吧,这两个用途不一样吧 : 。
|
h**********c 发帖数: 4120 | 7 这个东西主要是可以可以防止tamper header,里面还有时间验证,可以有很多东西。 |
s*****w 发帖数: 1527 | 8 https://stackoverflow.com/questions/187655/are-https-headers-encrypted
https headers are also encrypted, i don't see how JWT makes a difference for
header
【在 h**********c 的大作中提到】 : 这个东西主要是可以可以防止tamper header,里面还有时间验证,可以有很多东西。
|
h**********c 发帖数: 4120 | 9 这个一个简单的实例就是你登入某银行的包,第三方听下来,解不解密,明天大发特发
最少是DOS
这个具体我不搞INFOSEC,
这个在JWT里普遍有一个加密字段字段里面有时间戳,你就没法重复发了
具体JWT有什么能水,我也就知道这点,具体我不搞INFOSEC
for
【在 s*****w 的大作中提到】 : https://stackoverflow.com/questions/187655/are-https-headers-encrypted : https headers are also encrypted, i don't see how JWT makes a difference for : header
|
h**********c 发帖数: 4120 | 10 再往深了说如果你DNS被人劫持,那么你header对攻击方来说就是明文了,jwt除了证书
验证之外,还有另外的secret, |