使用基于令牌的身份验证(例如:JSON Web 身份验证)时,如何防止重放攻击并向我的应用程序添加另一层加密?
问问题
2421 次
2 回答
1
如果您想保护您的应用程序身份验证免受重放攻击,您可以包括随机数 ( jti )、到期时间 ( exp ) 和发布时间 ( iat )。
有关更多信息,请参阅规范。
更多细节。
重放攻击(也称为重放攻击)是一种网络攻击形式,其中有效数据传输被恶意或欺诈性地重复或延迟。[维基百科]
因此,如果您使用的是随机数,则数据只能传输一次,因此无法重新传输。这可以防止经典的重放攻击。
为了避免延迟攻击,使用了过期时间和发布时间。这种攻击不仅包括捕获数据流量,还包括中断受害者的流量。中断交通需要时间。当然,使用到期时间和发布时间并不是 100% 的解决方案,但如果您明智地选择这些值,您就可以最大限度地降低风险。
于 2017-04-10T16:38:55.820 回答
1
您可以使用 https。您应该使用 https。
于 2017-04-11T10:59:30.823 回答