关于tinywan/jwt刷新令牌的安全问题

mrcmf

问题描述

我们有个项目中使用到了tinywan/jwt的插件,在开发时发现在使用刷新令牌请求接口时,是无法获取到令牌中的自定义信息,因此无法对刷新令牌的持有者进行安全校验(校验请求者的IP地址与登录时是否一致,否则返回401触发刷新令牌去更新token中的信息),请问大家是如何确保refresh_token不被盗用的?

截图

324 4 0
4个回答
sanergo

1.你生成token的时候有没有传ipaddr进去,没有肯定获取不到了
2.refreshToken只能由用户保证自己安全,就好比你的银行卡账号和密码都让别人拿到了,然后钱被盗了,你不能完全怪银行没保证安全性吧,虽然银行会有部分安全验证,但是大部分情况下时无效的。
3.就算你要在服务端保证安全,那么用ip时肯定不行的。比如你在家用的wifi,但是取外面了用的流量(ip变了),然后你的系统就不让人用了,或者让人重新登陆才行?

  • mrcmf 2024-05-21

    感谢,我已制定方案解决此事
释永战

安全性那么重要的话建议不要用jwt了···

  • mrcmf 2024-05-21

    感谢,我已制定方案解决此事
Tinywan

refresh_token 都被盗用了,你电脑还安全吗?

  • 暂无评论
Tinywan

推荐配合:Exception 异常插件 https://www.workerman.net/plugin/16

看到你的哪个返回格式有点难受呀!

  • mrcmf 2024-05-21

    好的,我去看一下,谢谢
相似问题
Tinywan/jwt 无法直接获取用户数据解决方案讨论
【webman插件】tinywan/jwttoken
Tinywan / jwt
tinywan/jwtrefreshToken,开启单点登录后,在access_token过期后,用refresh_token请求出现
手请教一个聊天室开发
Tinywan\Jwt插件有个很诧异
月贡献榜
1
walkor
🚀
2
heguangyu5
3
tanhongbin
夕阳无限好,只是近黄昏
4
不败少龙
努力搬砖之前给自己留一个好心情,快乐是自己的。
5
huiqian
赞助商
+成为赞助商

app,小程序,H5聊天源码

语音|视频|文字聊天

客服系统源码

小程序客服|h5客服|网页客服
×
🔝