没有 https 的情况下, jwt 是不是也不安全?

查看 223|回复 16
作者:NoKey   
抓包拿到 jwt 之后模拟请求,是不是服务端根本分不出请求方是不是真正的用户。
所以说,所有的安全,都应该是由 https 来兜底?
其他各种 jwt ,oauth 什么的,都是一种认证方法,不是安全机制?

jwt, 请求, OAuth, 安全

maocat   
http 就是不安全的
rekulas   
可以这样理解 通信安全和身份校验是两回事
Ayanokouji   
有 https 不是也可以吗
IvanLi127   
服务端好像从来都不知道请求是不是真正的用户吧,只能说发个凭证给用户,用户每次请求带有这个凭证就认定是这个用户。
这个和 HTTPS / HTTP 没啥关系,HTTPS 的安全,没双向认证的话,只能让用户安全些,服务端该不安全还是不安全。
nottyjay   
jwt ,oauth 都是认证方案啊。因为 http 只能传输文本,没有别的更多的信息。不过,你要是说在 jwt 里还打包了你请求的源 ip ,然后通过对比后续请求过来的 ip 是不是和 jwt 中的一致,还是能勉强做一下安全的。但这种别人只要切换网络导致 ip 变动就会自动掉线了
noe132   
换个说法,抓包拿到用户名密码之后模拟请求,是不是服务端根本分不出请求方是不是真正的用户。
MFWT   
鉴权和加密和防篡改,是几码事
NoKey
OP
  
@IvanLi127 走 https 的话,数据加密,可以避免中间抓包吧
di1012   
jwt 安不安全跟 http 没关系吧
您需要登录后才可以回帖 登录 | 立即注册

返回顶部