我有一个关于JSON Web Token(JWT)的一般性问题。
如果JWT被从客户端窃取(比如存储为cookie或应用程序的数据库),通过黑客攻击或物理访问,它可以被用来发送到服务器,而服务器会认为它是合法用户。这是正确的吗?
是否有任何常见或标准的做法来防范这种情况,例如,从客户端一起发送设备/浏览器类型或某些参考代码,服务器检查它是否与生成和存储JWT令牌的附加数据匹配。(然而,我读到的标准做法是不在服务器上存储任何东西。)
请建议,因为我需要实现Java JWT(JJWT),RESTful Java Jersey和Google Web Toolkit。(我一直在阅读文档,例如:[https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-web-storage])。
谢谢!
如果JWT被从客户端窃取(比如存储为cookie或应用程序的数据库),通过黑客攻击或物理访问,它可以被用来发送到服务器,而服务器会认为它是合法用户。这是正确的吗?
是否有任何常见或标准的做法来防范这种情况,例如,从客户端一起发送设备/浏览器类型或某些参考代码,服务器检查它是否与生成和存储JWT令牌的附加数据匹配。(然而,我读到的标准做法是不在服务器上存储任何东西。)
请建议,因为我需要实现Java JWT(JJWT),RESTful Java Jersey和Google Web Toolkit。(我一直在阅读文档,例如:[https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-web-storage])。
谢谢!