با عرض سلام خدمت همه برنامه نویسان وب
دوستان یه چالشی در ذهنم هست خوشحال میشم شما هم نظراتتون رو به اشتراک بزارید 😎
همه میدونید که احراز هویت کاربر در JWT با Token صورت میگیره.
به صورت خلاصه بخوام بگم :
در این روش چون داده ای در کوکی ذخیره نمیشه از حملات CSRF جلوگیری میشه. توکن دریافتی از سرور رو میشه در Local Storage مرورگر ذخیره کرد.
اما چالش من اینه که با لو رفتن توکن دریافتی از سرور، هکر میتونه در درخواستهای ارسالیش توکن رو قرار بده و براحتی عملیات مخرب خودش رو انجام بده. چون کاربر در وحله اول توکن رو از سمت سرور دریافت میکنه و بعدها هم با هر درخواست توکن رو میفرسته هکر میکنه با رسد داده های شبکه به توکن دسترسی پیدا کنه یا حتی با نفوذ به سیستم کاربر میتونه توکن رو از مرورگر بخونه.
برای جلوگیری از لو رفتن توکن چه راهی پیشنهاد می کنید؟؟
توکن ها برای ایجاد شدن نیاز به کلید خاص خودشون دارن و اگه حتی کاربر یا هکر توکن رو بدست بیاورند مشکل امنیتی به وجود نمیاد چون فقط با همون کلید اون توکن ساخته میشه و در سمت سرور اعتبار سنجی میشه که فقط با داشتن کلید توکن میشه توکن جعلی ساخت و سایت رو دچار بحران کرد
به فرض توکن خودش هم بدست اورد، کلید رو هم بدست اورد، به تنهای جایی که میتونه درخواست بده فقط اطلاعات همون کاربره دیگه!
آیا مایل به ارسال نوتیفیکیشن و اخبار از طرف راکت هستید ؟