Как сервер проверяет клиента JWT?
Мы знаем, что если содержимое JWT изменено, сервер просто находит его, используя подпись. Но что, если JWT украден и использован хакером, не изменив его? Как сервер проверяет, что JWT исходит от правильного клиента?
Я знаю, что идентификатор пользователя находится внутри JWT, но все же я не уверен, как сервер может безопасно убедиться, что JWT поступает от клиента, у которого есть тот же идентификатор пользователя, что и в JWT.
Ответы 1
Хакер не может и не будет изменять токен. Поскольку сам токен безопасен и ему полностью доверяют. Такова природа JWT. Так что без дополнительной информации вы не заметите разницы.
Однако вы можете разработать стратегию защиты своего ресурса.
Самое главное - не дать хакеру «украсть» токен. Это помогает, когда вы всегда отправляете токен по защищенной линии и храните информацию (например, токены) в защищенном месте.
Сделайте так, чтобы не стоило взламывать токен. Используйте недолговечные жетоны, например, пять минут или меньше. Когда хакер завладевает токеном, он дает доступ только на короткий период времени. Это «приемлемая потеря». С другой стороны, хакер обескуражен, поскольку усилия не стоят результата.
Обнаруживайте подозрительное поведение. Например, сто обращений в секунду или разные IP-адреса с одним и тем же токеном.
При использовании токена обновления проверьте запрашивающую сторону. Находится ли IP-адрес в пределах допустимого диапазона? Используйте только одноразовые токены обновления. Разрешать токены обновления только в том случае, если клиент может хранить секреты. Используйте истечение срока действия для токенов обновления, это заставит пользователя время от времени входить в систему.
И добавьте дополнительную информацию к утверждениям в токене. Например, IP-адрес, используемый агент и т. д. Это быстрая проверка.
Если IP-адрес не такой, как в заявке, не принимайте токен. Приложению потребуется отправить токен обновления, чтобы получить новый токен доступа. Хакер не может этого сделать без токена обновления.
Следите за успешными IP-адресами входа. Для известного IP-адреса токен может быть обновлен. Для неизвестного IP-адреса (возможный хакер или неизвестная измененная сеть Wi-Fi) аннулируйте токен обновления. Таким образом, пользователь будет вынужден снова войти в систему.
В качестве дополнительной меры безопасности свяжитесь с пользователем (отправьте электронное письмо, как это делает Google), когда произошло что-то другое. В этом случае пользователь может отозвать токен обновления.