在移動APP開發中,常常使用JWT即json web token保持登陸狀態,這一技術使用的十分廣泛,幾乎成了事實的標準。
然而,這並不安全。
JWT 的安全的基石是保證秘鑰(secret key)的安全,因為一旦秘鑰洩露,擁有秘鑰的人可以偽造所有用戶。這給管理帶來了麻煩,我們要完全信任管理人員,管理人員變動就要修改秘鑰,而修改秘鑰又會打斷用戶的登錄狀態。也許有人會說,這不是問題,這個和數據庫賬號密碼管理一樣啊,這個還有些不同,生產環境的數據庫賬號密碼通常會有登錄IP限制。
公司內部的管理人員和開發人員很容易有意無意的記住密鑰,而實際企業應用中很少經常更換jwt密鑰,這就留下了安全隱患。
重複一遍,擁有秘鑰的人可以偽造所有用戶!
所以,手機移動應用使用JWT保持登陸狀態,並不安全。
使用傳統的會話機制,再加redis集中存儲,簡單又安全。
分享到:
閱讀更多 黃洪清數學 的文章
