0

问题:

  1. 客户端向使用客户端私钥签名的服务器发送 JWT
  2. 服务器使用 http(而不是 https)来检索公钥以验证 JWT 是否由客户端签名,缓存客户端的公钥。
  3. 攻击者截获 http 连接,将公钥更改为攻击者的公钥,并向服务器发送一个带有攻击者签名的 JWT,就好像它是从客户端发送的消息一样。

有没有办法摆脱这种威胁模型?谢谢

4

0 回答 0