我正在使用flask-jwt-extended
库进行身份验证,一切正常,但我想检查是否有人使用 发送了操纵的 JWT 令牌ALG = none
,因为这是用于欺骗服务器的已知漏洞点。
我查看了文档,但没有找到哪个选项可以让我检查alg
所有请求中收到的内容。
谢谢。
我正在使用flask-jwt-extended
库进行身份验证,一切正常,但我想检查是否有人使用 发送了操纵的 JWT 令牌ALG = none
,因为这是用于欺骗服务器的已知漏洞点。
我查看了文档,但没有找到哪个选项可以让我检查alg
所有请求中收到的内容。
谢谢。
Flask-JWT-Extended 已经为您处理了这个问题。app.config['JWT_DECODE_ALGORITHMS']
它会根据在或app.config['JWT_ALGORITHM']
此处(https://github.com/vimalloc/flask-jwt-extended/blob/1fec4dc22fe97fd3bf579548079543a8c0b61e3e/flask_jwt_extended/utils.py#L111 )中定义的预期算法检查每个令牌,以避免此类攻击。