这是一个创建于 1947 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近在弄单点登录解决方案,初步选定 jwt,但小厂可能无法使用 https,只能走 http 的话有什么措施能弥补中间人问题吗?
有其它更通用的单点登录方案大家也可以讲一下,蟹蟹大家
 |
1
npe 2019-07-05 16:28:07 +08:00 via Android
jwt 进行 RSA 加密
|
 |
3
wangxiaoaer 2019-07-05 16:37:56 +08:00
jwt 本身就可以防篡改好吧。
jwt 需要防的是被盗用,一般所谓的把 jwt 再包一层这种做法很多是又造了一个类似 https 的东西出来。😂 |
 |
4
wentaoliang 2019-07-05 16:38:24 +08:00
小厂为啥就不能用 https,想要解决 http 的中间人攻击自行解决的难度只会更高
|
 |
5
zhangtao 2019-07-05 16:57:38 +08:00
由于无法主动让某个 jwt 字符串失效,因此只要能抓到包,就能伪造请求,所以老老实实上 https 吧
|
 |
6
Lonely 2019-07-05 17:09:35 +08:00 via iPhone
上 https 有啥难度吗
|
 |
7
uxstone 2019-07-05 17:13:47 +08:00
上 https 有啥难度吗
|
 |
8
mlxy123123 2019-07-05 18:26:19 +08:00
Let's Encrypt 有什么不好
|
 |
9
kangzai50136 2019-07-05 18:53:35 +08:00 via Android
我一个个人博客都上了 https 了你跟我说一家公司上不了 https ?
|
 |
10
limuyan44 2019-07-05 19:07:01 +08:00 via Android
以小厂为理由不上 https 的建议开除这帮技术人员
|
 |
11
Livid MOD https 在 2019 年应该是必须有的。
Let's Encrypt,TrustAsia,选择很多。 |
 |
12
cheng6563 2019-07-05 19:11:48 +08:00 via iPhone
除非你是客户端应用,不然做不到防监听。
|
 |
13
nnnToTnnn 2019-07-26 09:03:25 +08:00
http 毫无安全性可言,登入裸奔,且暴露密码
|
 |
14
Shikyou 2020-06-24 16:54:47 +08:00
这一类实现单点登录的用户管理的云服务已经很多了,为什么还要自行开发呢?
比如楼上说的国内的 Authing,还有美国的 Auth0 和 AWS Cognito 都行的(国内由于政策原因用不了)。 用了以后就回不去了,再也无需开发、运维用户系统…… |
Select Language