誰かが秘密鍵を知っていて、たとえばjsonトークンのユーザー名と有効期限を変更した場合、サーバー上の保護されたデータにアクセスできますか?
質問する
146 次
2 に答える
1
「秘密鍵」で HMAC 署名で使用される対称鍵を参照する場合、その鍵を所有していれば誰でも有効な JWT を作成して署名できます。
「秘密鍵」で、RSA シナリオで JWT に署名するために使用される秘密鍵を参照する場合、その鍵を所有する人は誰でも、対応する公開鍵を使用して検証する人によって信頼される有効な JWT を作成および署名できます。
誰かが自由に JWT を偽造できる (変更後に正しく署名できる) と仮定すると、このトークンはそれを受け取る当事者によって信頼され、その内容は本物と見なされます。
基本的に、はい。
ここでは、いくつかの脆弱性について説明し、JWT のセキュリティの一般的な概念について説明しています。
于 2015-08-03T06:26:41.613 に答える
0
アクセス トークンを取得するには、5 つの異なるパラメーターが必要です。
grant_type、ユーザー名、パスワード、client_id、client_secret
したがって、秘密鍵を知っていると、ユーザー名はトークンを取得できません。パスワードを知っていることも得られます。これは、すべてのパラメーターを知っている場合にのみ、誰かがトークンを取得することを正確に意味します。
于 2015-08-03T06:04:48.563 に答える