Как предотвратить повторные атаки при использовании токен-аутентификации в HTTP-соединении

Question

Как предотвратить повторные атаки при использовании токен-аутентификации в HTTP-соединении

Как можно предотвратить повторные атаки и добавить еще один уровень шифрования в мое приложение при использовании аутентификации на основе токенов, например: JSON Web-аутентификация?

3

java security jwt jwe

Источник

user7845953 10 апр '17 в 15:55

2 ответа

Решение

Вы можете использовать https. Вы должны использовать https.

1

Источник

user2195875 11 апр '17 в 10:59

Другие вопросы по тегам java security jwt jwe

user1405363 10 апр '17 в 16:38 2017-04-10 16:38 · Accepted Answer · 2017-04-10 16:38

Если вы хотите защитить аутентификацию вашего приложения от атак воспроизведения, вы можете указать одноразовый номер ( jti), срок действия ( exp) и время выдачи ( iat).

Для получения дополнительной информации см. Спецификацию.

Немного больше деталей

Атака воспроизведения (также известная как атака воспроизведения) - это форма сетевой атаки, при которой допустимая передача данных злонамеренно или мошеннически повторяется или задерживается. [Википедия]

Таким образом, если вы используете одноразовый номер, данные могут быть переданы только один раз, поэтому повторная передача невозможна. Это предотвращает классическую повторную атаку.

Чтобы избежать отложенных атак, используется время истечения и выданное время. Эта атака включает в себя не только захват трафика данных, но и прерывание трафика жертвы. И прерывание трафика требует времени. Конечно, использование времени истечения срока действия и выданного времени не является 100-процентным решением, но если вы правильно выберете значения, вы минимизируете риск.