ac0092a0f975

今天收到letsencrypt的邮件说证书到期，上服务器检查，发现使用cerbot更新证书时，报错HTTPS校验错： 解决方法1： 不验证https certbot rene...

ac0092a0f975

唉，为什么作者会被喷。。。看了评论区忍不住登陆来支持下

讲真，别再使用JWT了！

摘要： 在Web应用中，使用JWT替代session并不是个好主意 适合JWT的使用场景 抱歉，当了回标题党。我并不否认JWT的价值，只是它经常被误用。 什么是JWT 根据维...

ThoughtWorks

277012 157 388

ac0092a0f975 ·

内容没细看，但我对这标题确实无比认同。

jwt最致命的问题，就是将用户标识明文（base64等同明文）的放在客户端，而且单一依赖同一个secret。一旦secret被泄露，那攻击者就可以毫不费力的冒充所有用户。

而不幸的是，secret的保护并不足够：
1. 一般作为配置，总有人容易接触到。（在安全领域，人是最不可靠的）
2. 要更换secret的话，已签发的所有token都将失效（比如知道了secret的人要离职）
3.算法是明文的，所以，攻击者通过暴力破解，有较大可能碰撞出secret，这是因为：
a. 很多人用一些常见或简单的词语作为secret
b. 碰撞时只需要本机运算，不会访问服务器（如果有足够的利益驱动，算力不是问题），也就是说服务端根本不会知道有人得知了secret。
同样，如果有人碰撞出了secret，那他可以任意的构造不同的用户身份而且不会被发觉

ccc7b37c9552 评论自讲真，别再使用JWT了！