誰かがネットワークを盗聴し、RESTからトークンを使ってリクエスト全体を捕まえるとどうなりますか?この人は同じパケットをもう一度送ることができ、影響はありません。もちろん、彼はどのユーザからそのパケットを知ることはできませんが、とにかく影響を与えることができますか?これは可能ですか?どのようにこの状況につながりますか?JWT(JSON Webトークン)がトークンを盗聴した場合、同じ投稿を送信できますか?
ありがとうございます! Matt。
誰かがネットワークを盗聴し、トークンを使用して自分のRESTからのリクエスト全体を捕まえるとどうなりますか?
JWTは認証トークンであるため、ユーザーを偽装する可能性があります。
この人は、同じパケットをもう一度送って、問題なく影響を与えることができますか?
ifは認証トークンを持っているため、同じパケットまたは他のパケットです。ユーザがあなたのユーザ名/パスワードを紛失したのと同じケース
もちろん、彼はどのユーザからそのパケットを知ることはできませんが、とにかく影響を与えることができますか?
はい、彼はユーザーを知ることができます。トークンの「サブ」フィールドをデコードするだけで知ることができます。 RFCで定義されているこのフィールドは、JWTの サブジェクトであるプリンシパルを識別します。攻撃者は自分のAPIを使用してアクセス可能な情報を取得または変更できます
これは可能ですか?どのようにこの状況につながりますか?
主に中間者を避け、トークンを非公開にするために、HTTPSを主に使用します。有効期限と更新トークンを定期的に設定する
もちろん、攻撃者はトークンを使用して犠牲者と同じアクセス権を得ることができます。
あなたは攻撃者の行動を制限したい場合は、いくつかの条件を実行する必要があります。