JSON网络令牌安全

Question

我一直在使用JSON令牌，并阅读如何使应用程序更加安全。当用户被授权时，将对令牌进行签名，并将一个令牌放置在授权头中。然后，可以将此令牌放置在localStorage、sessionStorage或cookieStorage中。最后一个选项是最安全的选项，但我想知道是否有任何JSON web令牌的特性，或者任何中间件，或者JSON Web加密(不太确定这是如何工作的)，以防止恶意攻击者拦截/获取该令牌，并将其用于对应用程序的API的未来请求，因为所需的只是一个带有该令牌的请求，以便一个哑服务器响应所请求的信息。

Answer 1

1. 通过TLS发送令牌。
2. 使用几个私钥/公钥(即RSA、ECDSA)签名令牌，以防止篡改(您不使用秘密共享！)。
3. 如果您的令牌被盗，攻击者只能在短时间内使用它。您可以将过期时间设置为15分钟。
4. JSON Web加密(JWE)提供内容的机密性。您可以使用非对称加密技术发送机密内容。看这个示例。

Answer 2

保护用户凭据-会话Cookies Vs。JWTs：-在服务器上实现HTTPS，登录表单在此安全通道上发布--将会话ID存储在只能通过安全通道发送到服务器的只允许HTTPS的cookie中--防止恶意代码(XSS)：不要使用本地存储--使用JSON Web令牌来保护Web应用程序UI: 3部分：

Header:
{
"typ":"JWT",
"alg":"HS256"//ALGORITHM HS256 are specifically designed to PREVENT alteration of the payload
}

JWT: should be signed with a private signing key
Body:
{
"iss":"your site"//Who issued this token,
"exp": //timestamp,//set the good expiration time
"sub": "users/105898"//user ID,
"scope": "self api/comment"//What this user can do
}

备注：

• 在验证传入的JWT时，请注意您认为有效的内容。
• 如果JWT库进行了足够的更改，那么您使用的库可能必须以破坏与代码兼容性的方式进行更改。遵循链接