jwtで可能ですか？

Question

json Webトークンに基づいてセキュリティを実装することに決めましたが、私には1つの質問があります。私はユーザTomを持っていて、彼は私のサーバにリクエストをすると言います。応答として彼はjwtトークンを取得します。 Tomからの後続の要求にはすべてこのjwtが含まれます。誰かがwiresharkやsth elseを使って自分の才能を捉え、彼の知識なしにTomのために要求することは可能でしょうか？サーバーから見てもらえますか？

Answer 1

はい、可能です。これは「リプレイ攻撃」と呼ばれています。 HTTPSはそれをはるかに難しくしますが、HTTPSでも可能です。関連する議論はここに例として見つけることができますhttps://stackoverflow.com/a/2770200/43848

Answer 2

はいそれは可能です。 JWTを持っている人は誰でもトムになりすます可能性があります。 httpsを使用して、攻撃者が交換されたメッセージからトークンを取得し、そのトークンを安全なストレージに保持することを避けることができます。