امنیت در JWT
با عرض سلام خدمت همه برنامه نویسان وب
دوستان یه چالشی در ذهنم هست خوشحال میشم شما هم نظراتتون رو به اشتراک بزارید 😎
همه میدونید که احراز هویت کاربر در JWT با Token صورت میگیره.
به صورت خلاصه بخوام بگم :
- کاربر یک درخواست به سمت سرور ارسال میکنه
- در سمت سرور توکن ایجاد شده و به کاربر بازگردانده میشه
- کاربر در هر بار ارسال درخواست توکن دریافتی رو هم در هدر قرار داده و ارسال میکنه و در سمت سرور توکن اعتبارسنجی شده و به درخواست کاربر پاسخ داده میشه.
در این روش چون داده ای در کوکی ذخیره نمیشه از حملات CSRF جلوگیری میشه. توکن دریافتی از سرور رو میشه در Local Storage مرورگر ذخیره کرد.
اما چالش من اینه که با لو رفتن توکن دریافتی از سرور، هکر میتونه در درخواستهای ارسالیش توکن رو قرار بده و براحتی عملیات مخرب خودش رو انجام بده. چون کاربر در وحله اول توکن رو از سمت سرور دریافت میکنه و بعدها هم با هر درخواست توکن رو میفرسته هکر میکنه با رسد داده های شبکه به توکن دسترسی پیدا کنه یا حتی با نفوذ به سیستم کاربر میتونه توکن رو از مرورگر بخونه.
برای جلوگیری از لو رفتن توکن چه راهی پیشنهاد می کنید؟؟
گزینش سوالات
گفت و گو های مرتبط
دسته بندی سوالات
تگهای محبوب
توکن ها برای ایجاد شدن نیاز به کلید خاص خودشون دارن و اگه حتی کاربر یا هکر توکن رو بدست بیاورند مشکل امنیتی به وجود نمیاد چون فقط با همون کلید اون توکن ساخته میشه و در سمت سرور اعتبار سنجی میشه که فقط با داشتن کلید توکن میشه توکن جعلی ساخت و سایت رو دچار بحران کرد
به فرض توکن خودش هم بدست اورد، کلید رو هم بدست اورد، به تنهای جایی که میتونه درخواست بده فقط اطلاعات همون کاربره دیگه!