Token 窃取被泄露:攻击者可能会通过窃取 JWT token 来冒充用户身份,从而进行恶意操作。
JWT token 可能会因为以下原因泄漏:
网络传输不安全:如果 JWT token 在网络传输过程中没有采用安全的传输协议,比如 HTTPS,就有可能被窃听或篡改。
存储不安全:如果 JWT token 存储在不安全的地方,比如客户端的本地存储或者 cookie 中,就有可能被恶意软件或攻击者窃取。
代码漏洞:如果代码中存在漏洞,比如未对 JWT token 进行充分验证或者未正确处理异常情况,就有可能导致 JWT token 泄漏。
窃取或者泄漏的解决方案
在登陆验证成功后,制做token的时候,加多一个用户当前的ip。
后面每次请求过来的时候,在网关校验校验一下这个token里面的ip 是否和客户端的ip一致。如果出现不一致就进行拦截