我最近在研究會員登入系統 讓會員登入之後 要給token當作驗證
因此我去觀察人家的網站 發現登入後
訪問頁面內的scr後面會加一堆參數
如下:
Expires=1672057194
&Policy=............
__&Signature=..........
__&Key-Pair-Id=APKAIZFQRQCEYGED75TA
想要請問
1.這一串東西是否就是jwt呢? 2.如果不是的話是什麼?
3.所謂的Expires我知道是怎麼產生的 是依照當前時間給一個期限
那麼其他的Policy或Signature這些是否也有一套公式(標準)?
4.如果我自己要做網站 我該用什麼方式加密產生這些參數?
5.這些參數是否又會有被解密的資安問題?
以上謝謝各位前輩
已邀請的邦友 {{ invite_list.length }}/5
1.這一串東西是否就是jwt呢?
不是
2.如果不是的話是什麼?
不知道,要問網站開發者。
3.所謂的Expires我知道是怎麼產生的 是依照當前時間給一個期限
那麼其他的Policy或Signature這些是否也有一套公式(標準)?
沒有。
4.如果我自己要做網站 我該用什麼方式加密產生這些參數?
不要在前端加密就行,沒意義。最好是經過後端處理加密。
5.這些參數是否又會有被解密的資安問題?
任何方式都有被解密的危險性,差別在於難易度及人為因素。
就連無法還原解密的MD5都有機會破解了。
但增加困難度。就有時間成本的合算期。可扼止一些黑客。
1.這一串東西是否就是jwt呢
不是
JWT(JSON Web Token)
看起來應該不像json吧
可以去了解一下
前後端 認證資料的方式
2.如果不是的話是什麼?
可能是給後端判斷的參數
用途可以參考參數名稱
3.
看你想怎麼設定
4.後端吐
5.url 傳遞或是會跟前端使用者互動的
去查一下xss, sql injection 獲得相關資訊
0.我有做一些影片.可以去看.裡面有講解jwt運作
https://studio.youtube.com/video/Jmg6lSst7jM/edit
https://studio.youtube.com/video/UHzw3OxGmSI/edit
https://studio.youtube.com/video/XJpM_W8QMTQ/edit
https://studio.youtube.com/video/vCvKVkuHcoo/edit
這個影片也值得看
https://www.youtube.com/watch?v=29CE6uK7jIU 20 成為看起來很強的後端:JWT 原理與組成
1.這一串東西是否就是jwt呢? 2.如果不是的話是什麼?
放什麼資訊??可以自己定義
3.所謂的Expires我知道是怎麼產生的 是依照當前時間給一個期限
那麼其他的Policy或Signature這些是否也有一套公式(標準)?
看影片..期限 要不要給???自己定義
4.如果我自己要做網站 我該用什麼方式加密產生這些參數?
看影片
5.這些參數是否又會有被解密的資安問題?
通常 網站Server只會給你jwt token.
通常解不了(並非不行).通常Server才能解密...
iThome鐵人賽
看影片追技術