jwt จะโดน hack ได้อย่างไรบ้าง

jwt จะโดน hack ได้อย่างไรบ้าง
1. SDK library โดน hack ไปแก้โค้ด ส่งไปหา hacker ขโมย jwt จำนวนมาก
2. Private key โดน hack ไปสร้าง token ปลอมขึ้นมาเอง แต่เขาจะต้องรู้ subject (key) เพื่อเอามาเรียก api ที่ access resource จาก server ถ้าเขารู้
3. Third-party ไม่ยอมใช้ SDK library และไม่ยอม verify signature ของ jwt และเขียนเก็บ store ลง storage อาจโดนขโมย jwt จำนวนมากได้
4. “Man in the middle ดักฟัง network traffic ระหว่าง client กับ server ทุกครั้งที่ส่งข้อมูลระหว่างกันจะต้องผ่าน HTTPS เท่านั้น

# hack ตัวเองไม่นับ (รู้แค่ของตัวเอง เครื่องๆนึง ไม่ใช่จำนวนมาก) เหมือนแกะ cookie session ตัวเอง แก้ไขด้วยการกำหนด expire ของ token => https://stackoverflow.com/a/35817603/2090568

ประโยชน์ jwt
1. client จะ trust เฉพาะ issue ที่ verify digital signature ผ่าน โดยที่ไม่ต้องเรียกไป server
2. performance รวดเร็ว และ ลดโหลด server stateless

Related posts:

This entry was posted in json web token (jwt), ไม่มีหมวดหมู่. Bookmark the permalink.