SSLとJWTの違い

Question

私はブラウザ側のセキュリティの違いを読んで理解しようとしています。私が収集した情報から、SSLは、ユーザーがサーバーに送信するトラフィックを傍受しないようにするために使用されます。これにより、クリアテキストのサーバーにパスワードを送信することができます...そうですか？あなたがSSLで暗号化されたセッションであれば、パスワードを最初にハッシュしたり変わったことを心配する必要はありません。ちょうどユーザー名と共にサーバーに直接送信してください。ユーザーが認証した後、JWTを送り返すと、サーバーへの今後のすべての要求には、セキュリティで保護された領域にアクセスしようとしていると仮定して、このJWTを含める必要があります。これにより、サーバーはパスワードを確認する必要さえなくても、すべてのサーバーが署名を検証するだけで、すべてのサーバーが気にすることになります。署名が検証されている限り、クライアントは要求している情報をクライアントに提供します。私は何かを逃したか？

Answer 1

あなたは正しいですか？ "これにより、サーバーはパスワードを確認する必要がなくなります。"なぜあなたは各リクエストでパスワードをチェックしなければならないのですか？

JWTは、認証を検証する手段です。これは、認証要求が成功したときに生成され、したがって、各ユーザの要求に応じて、このユーザが認証されたことをサーバに知らせるために渡されます。

user_idやapi_keyなどの任意の値を格納するために使用できますが、あまり安全ではないため、ここに貴重な情報を格納しないでください。

プレーンなJWTが第三者によって傍受された場合、このユーザーのセッションと考えられるデータを想定することができます。

SSLは、低レベルのセキュリティ形式であり、傍受を防ぎ、整合性を保持するために、サーバーとの間のすべての要求を暗号化します。 SSLは、SSL証明書を取得（購入）してサーバーにインストールすることで実現します。基本的にSSL証明書は、暗号鍵を「組織」にバインドする小さなデータファイルです。一度正常にインストールされると、HTTPS要求（デフォルトでポート443）が可能になります。