关于tinywan/jwt刷新令牌的安全问题

mrcmf

问题描述

我们有个项目中使用到了tinywan/jwt的插件,在开发时发现在使用刷新令牌请求接口时,是无法获取到令牌中的自定义信息,因此无法对刷新令牌的持有者进行安全校验(校验请求者的IP地址与登录时是否一致,否则返回401触发刷新令牌去更新token中的信息),请问大家是如何确保refresh_token不被盗用的?

截图

236 4 0
4个回答

sanergo

1.你生成token的时候有没有传ipaddr进去,没有肯定获取不到了
2.refreshToken只能由用户保证自己安全,就好比你的银行卡账号和密码都让别人拿到了,然后钱被盗了,你不能完全怪银行没保证安全性吧,虽然银行会有部分安全验证,但是大部分情况下时无效的。
3.就算你要在服务端保证安全,那么用ip时肯定不行的。比如你在家用的wifi,但是取外面了用的流量(ip变了),然后你的系统就不让人用了,或者让人重新登陆才行?

  • mrcmf 2024-05-21

    感谢,我已制定方案解决此事

释永战

安全性那么重要的话建议不要用jwt了···

  • mrcmf 2024-05-21

    感谢,我已制定方案解决此事

Tinywan

refresh_token 都被盗用了,你电脑还安全吗?

  • 暂无评论
Tinywan

推荐配合:Exception 异常插件 https://www.workerman.net/plugin/16

看到你的哪个返回格式有点难受呀!

  • mrcmf 2024-05-21

    好的,我去看一下,谢谢

🔝