检查JWT ALG
检查JWT ALG
提问于 2020-11-12 04:22:01
我使用flask-jwt-extended库进行身份验证,一切正常,但我想检查是否有人用ALG = none发送了一个被操纵的JWT令牌,因为这是一个用来欺骗服务器的已知漏洞。
我查看了文档,但我没有找到哪个选项,让我检查一下在alg中接收到的所有请求的内容。
谢谢。
回答 1
Stack Overflow用户
发布于 2020-11-12 07:30:54
Flask-JWT-Extended已经为您处理了这一点。它根据app.config['JWT_DECODE_ALGORITHMS']或app.config['JWT_ALGORITHM'] here (https://github.com/vimalloc/flask-jwt-extended/blob/1fec4dc22fe97fd3bf579548079543a8c0b61e3e/flask_jwt_extended/utils.py#L111)中定义的预期算法严格检查每个令牌,以避免此类攻击。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/64793608
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号