jwt做接口权限判断靠谱吗 - CNode技术社区

jwt做接口权限判断靠谱吗

发布于 6 年前作者 sinazl 9514 次浏览来自分享

jwt做接口权限判断靠谱吗

19 回复

myy 1楼•6 年前

靠谱的定义是什么?

zuohuadong 2楼•6 年前

看下 node-casbin

wenye123 3楼•6 年前

啥是靠谱

gawinwu 4楼•6 年前

一直都是这么做

muyoucun557 5楼•6 年前

安全。当心token被截获?

idomyway 6楼•6 年前

可以的

sinazl 7楼•6 年前作者

@myy 安全性能哦单独的jwt可以被抓取的哦

QLLNNH 8楼•6 年前

如果只用jwt中的信息做权限判断的话,当降低权限的时候,原jwt还可以通过验证是最麻烦的事情。

myy 9楼•6 年前

@sinazl 无论你用什么,都有可能被抓取的。

yibo5220 10楼•6 年前

@myy 要签名验证的抓取破解不了才叫安全

myy 11楼•6 年前

@yibo5220 大哥,不知道重放攻击么? 签名只是防修改。我不修改,只是拿别人的token冒充别人的身份,根本不需要破解。

mobishift2011 12楼•6 年前

请教楼上各位什么才安全?

yibo5220 13楼•6 年前

@myy 把时间加入到签名只允许访问一次呢

myy 14楼•6 年前

@yibo5220 你能想到的别人都想到了。。

jwt是可以加有效时间的,但在有效期内的冒充身份你还是没办法的。

只能访问一次的jwt。。我只能说。。这真是个天才的想法。。

ahuigo 15楼•6 年前

你说的这种重放攻击,https 也存在这种问题啊。不过人家的签名不只含token,还有时间、tcp seq 都包含。但是依然无法杜绝0 RTT极速通信重放。严格安全的话,https 都得关0RTT.

绝对避免重放,就要搞幂等,或者模仿https 多次RTT,加递增序号。

反正一般场景下,加时间、随机数也够了。

myy 16楼•6 年前

@ahuigo 所以我第一个回答就是 "靠谱的定义是什么?"

靠不靠谱要根据需求来定,,"绝对的安全"估计只能靠量子加密了。

captainblue2013 17楼•6 年前

@myy 说得好,只能说你可以定义一下你的业务要求到什么安全级别。

hsluoyz 18楼•5 年前

现在新推出了一个权限框架,叫Node-Casbin(https://github.com/casbin/node-casbin )。Casbin采用了元模型的设计思想,支持多种经典的访问控制方案,如ACL、RBAC、ABAC,还支持对RESTful API的控制。现在已经支持Express、Koa2、Egg等Web框架了。

Camille1900 19楼•5 年前

6

回到顶部