امنیت توکن jwt

- 2 هفته پیش
توسط علیرضا بهمئی آپدیت شد
bahar alirezaei ( 115 تجربه )
2 هفته پیش

سلام
من در مورد Issuer در توکن Jwt سوال داشتم.
در اکثر مثال ها دیدم که به صورت یک مقدار ثابت در کانفیگ برنامه نگه داری میشود.
این مقدار چه کمکی به امنیت توکن ما میکند؟
اگر بحث sniff پیش بیاید و دستگاه دیگری توکن ما را به دست بیاورد و درخواست به سمت سرور ما ارسال کند امکان این وجود دارد که ما با این فیلد تشخیص دهیم که این کاربر سازنده ی توکن ما نبوده است؟
سوال دیگر اینکه امکان این وجود دارد ما IP کاربری که توکن را دریافت میکند احراز هویت کنیم؟ آیا این روش درستی است؟
کلا برای افزایش امنیت توکن چه راههای وجود دارد؟

علیرضا بهمئی ( 842 تجربه )
2 هفته پیش

اگه توکن توسط کاربر خودتون ساخته نشده باشه که اصلا اعتبار نداره
ولی اگه توسط کاربر خودتون ساخته شده باشه و کس دیگه ای به توکن ساخته شده دسترسی داشته باشه برای تشخیصش میتونید اطلاعات مرورگر و سیستم عامل کاربر device های فعال رو ذخیره کنید و مثل تلگرام به کاربر نشون بدید که چه device هایی در حال حاضر با اکانت کاربر فعال هستن و اون خودش logout کنه یا اجازه ندید توکن ساخته شده با یه device روی device دیگه ای قابل استفاده باشه که البته خود این کارها هم نیاز به پردازش و کوئری زدن به دیتابیس روی هر request داره
باید ببینید هزینه ی زمانی و بار پردازشی که روی سرورتون اضافه میشه براتون به صرفه هست یا نه

برای ارسال پاسخ باید وارد سایت شوید