jwt做接口权限判断靠谱吗

myy 1楼•4 年前

靠谱的定义是什么？

zuohuadong 2楼•4 年前

看下 node-casbin

wenye123 3楼•4 年前

啥是靠谱

gawinwu 4楼•4 年前

一直都是这么做

muyoucun557 5楼•4 年前

安全。当心token被截获?

idomyway 6楼•4 年前

可以的

sinazl 7楼•4 年前作者

@myy 安全性能哦单独的jwt可以被抓取的哦

QLLNNH 8楼•4 年前

如果只用jwt中的信息做权限判断的话，当降低权限的时候，原jwt还可以通过验证是最麻烦的事情。

myy 9楼•4 年前

@sinazl 无论你用什么，都有可能被抓取的。

yibo5220 10楼•4 年前

@myy 要签名验证的抓取破解不了才叫安全

myy 11楼•4 年前

@yibo5220 大哥，不知道重放攻击么？签名只是防修改。我不修改，只是拿别人的token冒充别人的身份，根本不需要破解。

mobishift2011 12楼•4 年前

请教楼上各位什么才安全？

yibo5220 13楼•4 年前

@myy 把时间加入到签名只允许访问一次呢

myy 14楼•4 年前

@yibo5220 你能想到的别人都想到了。。

jwt是可以加有效时间的，但在有效期内的冒充身份你还是没办法的。

只能访问一次的jwt。。我只能说。。这真是个天才的想法。。

ahuigo 15楼•4 年前

你说的这种重放攻击，https 也存在这种问题啊。不过人家的签名不只含token，还有时间、tcp seq 都包含。但是依然无法杜绝0 RTT极速通信重放。严格安全的话，https 都得关0RTT.

绝对避免重放，就要搞幂等，或者模仿https 多次RTT，加递增序号。

反正一般场景下，加时间、随机数也够了。

myy 16楼•4 年前

@ahuigo 所以我第一个回答就是 “靠谱的定义是什么？”

靠不靠谱要根据需求来定，，“绝对的安全”估计只能靠量子加密了。

captainblue2013 17楼•4 年前

@myy 说得好，只能说你可以定义一下你的业务要求到什么安全级别。

hsluoyz 18楼•4 年前

现在新推出了一个权限框架，叫Node-Casbin（https://github.com/casbin/node-casbin ）。Casbin采用了元模型的设计思想，支持多种经典的访问控制方案，如ACL、RBAC、ABAC，还支持对RESTful API的控制。现在已经支持Express、Koa2、Egg等Web框架了。

Camille1900 19楼•4 年前

6