最近在弄单点登录解决方案,初步选定 jwt,但小厂可能无法使用 https,只能走 http 的话有什么措施能弥补中间人问题吗?
有其它更通用的单点登录方案大家也可以讲一下,蟹蟹大家
![]() |
1
npe 163 天前 via Android
jwt 进行 RSA 加密
|
3
wangxiaoaer 163 天前
jwt 本身就可以防篡改好吧。
jwt 需要防的是被盗用,一般所谓的把 jwt 再包一层这种做法很多是又造了一个类似 https 的东西出来。😂 |
4
wentaoliang 163 天前
小厂为啥就不能用 https,想要解决 http 的中间人攻击自行解决的难度只会更高
|
![]() |
5
zhangtao 163 天前
由于无法主动让某个 jwt 字符串失效,因此只要能抓到包,就能伪造请求,所以老老实实上 https 吧
|
![]() |
6
Lonely 163 天前 via iPhone
上 https 有啥难度吗
|
![]() |
7
uxstone 163 天前
上 https 有啥难度吗
|
8
mlxy123123 163 天前
Let's Encrypt 有什么不好
|
9
kangzai50136 163 天前 via Android
我一个个人博客都上了 https 了你跟我说一家公司上不了 https ?
|
![]() |
10
limuyan44 163 天前 via Android
以小厂为理由不上 https 的建议开除这帮技术人员
|
![]() |
11
Livid ![]() https 在 2019 年应该是必须有的。
Let's Encrypt,TrustAsia,选择很多。 |
12
cheng6563 163 天前 via iPhone
除非你是客户端应用,不然做不到防监听。
|
13
nnnToTnnn 142 天前
http 毫无安全性可言,登入裸奔,且暴露密码
|