关于tinywan/jwt刷新令牌的安全问题
问题描述
我们有个项目中使用到了tinywan/jwt的插件,在开发时发现在使用刷新令牌请求接口时,是无法获取到令牌中的自定义信息,因此无法对刷新令牌的持有者进行安全校验(校验请求者的IP地址与登录时是否一致,否则返回401触发刷新令牌去更新token中的信息),请问大家是如何确保refresh_token不被盗用的?
576 4 0
4个回答
相似问题
1.你生成token的时候有没有传ipaddr进去,没有肯定获取不到了
2.refreshToken只能由用户保证自己安全,就好比你的银行卡账号和密码都让别人拿到了,然后钱被盗了,你不能完全怪银行没保证安全性吧,虽然银行会有部分安全验证,但是大部分情况下时无效的。
3.就算你要在服务端保证安全,那么用ip时肯定不行的。比如你在家用的wifi,但是取外面了用的流量(ip变了),然后你的系统就不让人用了,或者让人重新登陆才行?
感谢,我已制定方案解决此事
安全性那么重要的话建议不要用jwt了···
感谢,我已制定方案解决此事
refresh_token都被盗用了,你电脑还安全吗?看到你的哪个返回格式有点难受呀!
好的,我去看一下,谢谢