抓包拿到 jwt 之后模拟请求,是不是服务端根本分不出请求方是不是真正的用户。 所以说,所有的安全,都应该是由 https 来兜底? 其他各种 jwt ,oauth 什么的,都是一种认证方法,不是安全机制? jwt, 请求, OAuth, 安全
服务端好像从来都不知道请求是不是真正的用户吧,只能说发个凭证给用户,用户每次请求带有这个凭证就认定是这个用户。 这个和 HTTPS / HTTP 没啥关系,HTTPS 的安全,没双向认证的话,只能让用户安全些,服务端该不安全还是不安全。
jwt ,oauth 都是认证方案啊。因为 http 只能传输文本,没有别的更多的信息。不过,你要是说在 jwt 里还打包了你请求的源 ip ,然后通过对比后续请求过来的 ip 是不是和 jwt 中的一致,还是能勉强做一下安全的。但这种别人只要切换网络导致 ip 变动就会自动掉线了