首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Coding
V2EX  ›  信息安全

单点登录 jwt 实现,只能走 http 的话,有什么安全增强措施吗?

  •  
  •   cuttlefish · 163 天前 · 1322 次点击
    这是一个创建于 163 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近在弄单点登录解决方案,初步选定 jwt,但小厂可能无法使用 https,只能走 http 的话有什么措施能弥补中间人问题吗?

    有其它更通用的单点登录方案大家也可以讲一下,蟹蟹大家

    13 回复  |  直到 2019-07-26 09:03:25 +08:00
        1
    npe   163 天前 via Android
    jwt 进行 RSA 加密
        2
    npe   163 天前 via Android
    @npe 当然,这只能防篡改
        3
    wangxiaoaer   163 天前
    jwt 本身就可以防篡改好吧。

    jwt 需要防的是被盗用,一般所谓的把 jwt 再包一层这种做法很多是又造了一个类似 https 的东西出来。😂
        4
    wentaoliang   163 天前
    小厂为啥就不能用 https,想要解决 http 的中间人攻击自行解决的难度只会更高
        5
    zhangtao   163 天前
    由于无法主动让某个 jwt 字符串失效,因此只要能抓到包,就能伪造请求,所以老老实实上 https 吧
        6
    Lonely   163 天前 via iPhone
    上 https 有啥难度吗
        7
    uxstone   163 天前
    上 https 有啥难度吗
        8
    mlxy123123   163 天前
    Let's Encrypt 有什么不好
        9
    kangzai50136   163 天前 via Android
    我一个个人博客都上了 https 了你跟我说一家公司上不了 https ?
        10
    limuyan44   163 天前 via Android
    以小厂为理由不上 https 的建议开除这帮技术人员
        11
    Livid   V2EX Moderator   163 天前
    https 在 2019 年应该是必须有的。

    Let's Encrypt,TrustAsia,选择很多。
        12
    cheng6563   163 天前 via iPhone
    除非你是客户端应用,不然做不到防监听。
        13
    nnnToTnnn   142 天前
    http 毫无安全性可言,登入裸奔,且暴露密码
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   792 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 24ms · UTC 21:59 · PVG 05:59 · LAX 13:59 · JFK 16:59
    ♥ Do have faith in what you're doing.