jwt做接口权限判断靠谱吗
发布于 4 年前 作者 sinazl 8133 次浏览 来自 分享

jwt做接口权限判断靠谱吗

19 回复

靠谱的定义是什么?

看下 node-casbin

一直都是这么做

安全。当心token被截获?

@myy 安全性能哦 单独的jwt可以被抓取的哦

如果只用jwt中的信息做权限判断的话,当降低权限的时候,原jwt还可以通过验证是最麻烦的事情。

@sinazl 无论你用什么,都有可能被抓取的。

@myy 要签名验证的 抓取破解不了才叫安全

@yibo5220 大哥,不知道重放攻击么? 签名只是防修改。我不修改,只是拿别人的token冒充别人的身份,根本不需要破解。

请教楼上各位什么才安全?

@myy 把时间加入到签名 只允许访问一次呢

@yibo5220 你能想到的别人都想到了。。

jwt是可以加有效时间的,但在有效期内的冒充身份你还是没办法的。

只能访问一次的jwt。。我只能说。。这真是个天才的想法。。

你说的这种重放攻击,https 也存在这种问题啊。不过人家的签名不只含token,还有时间、tcp seq 都包含。但是依然无法杜绝0 RTT极速通信 重放。 严格安全的话,https 都得关0RTT.

绝对避免重放,就要搞幂等,或者模仿https 多次RTT,加递增序号。

反正一般场景下,加时间、随机数也够了。

@ahuigo 所以我第一个回答就是 “靠谱的定义是什么?”

靠不靠谱要根据需求来定,,“绝对的安全”估计只能靠量子加密了。

@myy 说得好,只能说你可以定义一下你的业务要求到什么安全级别。

现在新推出了一个权限框架,叫Node-Casbin(https://github.com/casbin/node-casbin )。Casbin采用了元模型的设计思想,支持多种经典的访问控制方案,如ACL、RBAC、ABAC,还支持对RESTful API的控制。现在已经支持Express、Koa2、Egg等Web框架了。

回到顶部