token 真的安全吗?

2018-12-11 09:46:44 +08:00
 luosuosile

比如 s 端送出一个 token。 b 端的报文被拦截了,那么不就被拿到了 token 了吗。那攻击者不就能使用这个 token 了吗。 b 端的加密不是没有什么意义吗,因为都能看到。不对称加密我忘光了,在看一次。 都能拦截的话 jwt 和 session 不是一样不安全吗。 那么,拦截报文的难度大吗? 希望有人给我解释一下,谢谢各位

9620 次点击
所在节点    信息安全
36 条回复
luosuosile
2018-12-11 09:47:50 +08:00
比如我取得 token 不久能进用户主页看各种信息了吗。
chenset
2018-12-11 09:50:26 +08:00
所以 https 加密 + B 端不要忽略 ca 验证就可以了.
chenset
2018-12-11 09:51:45 +08:00
用于 https 防报文拦截, 证书验证防中间人攻击
passerbytiny
2018-12-11 09:54:11 +08:00
首先,怕拦截,就上 https
其次,token 至少能够绑定申请者的的 IP 地址,要求再高的话,操作系统环境、硬件环境都可以要求申请者提供。
passerbytiny
2018-12-11 09:56:21 +08:00
再说一句,token 是对称加密,但是加密密钥只在服务器端,只能拦截了模仿,不能伪造。
luosuosile
2018-12-11 09:56:33 +08:00
好,来问了就是好。看到文章都说的一知半界。现在又有关键词可以学习了,https,ca 验证。
ip 地址我倒是有考虑过。
luosuosile
2018-12-11 09:59:08 +08:00
@passerbytiny 实际上密匙只有服务端知道,所以连对称都好像称不上,但是 b 端又无需解密,加密是为了保护 token 里的用户信息吧?
luosuosile
2018-12-11 10:01:04 +08:00
@chenset 好谢谢,我再研究一下
liuyanjun0826
2018-12-11 10:02:30 +08:00
在理想情况下楼主说的是对的,但是现实情况下,比如说你拦截我的信息,我肯定会发觉,因为总有第三者存在,除非去掉线下验证
KyleTung
2018-12-11 10:02:31 +08:00
token 不是用来做用户信息加密的,而是和 session 一样用来做身份鉴别的,至于安全性还是需要用 https 保证
opengps
2018-12-11 10:04:18 +08:00
token 也不安全啊( https 能做到网络传输半路上不丢),仅仅是个会话标识而已
如果你电脑上或者服务器上,中了某些病毒抓包,那么可以拿 token 来代替你做很多事,这时候 https 帮不了你
wly19960911
2018-12-11 10:07:53 +08:00
@luosuosile #7 传统的密码验证就是对称加密,非对称加密是需要两个密钥去分别加密 解密,证书作为公开密钥加密,私钥作为解密密钥,保证除了服务器端没有人可以解密。

这个时候假如你需要进行调试获取 http 明文,就需要网络抓包工具安装一个证书并且劫持所有网站证书替换成抓包工具的,这样抓包工具就可以解密 https。
watzds
2018-12-11 10:12:01 +08:00
后端签名鉴权,token 是后端给的啊
luosuosile
2018-12-11 10:13:31 +08:00
@liuyanjun0826 那么有什么可以拦截别人报文的方法可以说下吗,我只会 wireshark,findle 这些拦截自己的。
luosuosile
2018-12-11 10:14:08 +08:00
@KyleTung 好,看来现在不上 https 都不行了
luosuosile
2018-12-11 10:16:07 +08:00
@wly19960911 谢谢,我需要再理解下
whypool
2018-12-11 10:22:25 +08:00
https 也能用代理证书抓包
rogwan
2018-12-11 10:31:34 +08:00
拦截 token 和获取 token 分开讲,https 拦截 token 是不容易的,否则整个 ssl 加密都失去意义了。获取 token 的方式就比较容易,客户端失控模拟真实访问 s 端很难察觉,为了安全可以配合 ip、csrf 这些一起验证,大厂的风控综合计算的参数就更多了,超过风险阙值就会让用户短信验证,或者客户端扫码登录。
liuyanjun0826
2018-12-11 10:35:00 +08:00
@luosuosile 参考 https://github.com/spacecowboy/Feeder https://github.com/DIYgod/RSSHub 即使用代理证书
luosuosile
2018-12-11 10:37:24 +08:00
@liuyanjun0826 谢谢

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/516357

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX