iT邦幫忙

2

前端-URL後面這串是不是jwt呢 該怎麼理解???

  • 分享至 

  • xImage

我最近在研究會員登入系統 讓會員登入之後 要給token當作驗證
因此我去觀察人家的網站 發現登入後
訪問頁面內的scr後面會加一堆參數
如下:

Expires=1672057194

&Policy=............

__&Signature=..........

__&Key-Pair-Id=APKAIZFQRQCEYGED75TA


想要請問

1.這一串東西是否就是jwt呢? 2.如果不是的話是什麼?

3.所謂的Expires我知道是怎麼產生的 是依照當前時間給一個期限
那麼其他的Policy或Signature這些是否也有一套公式(標準)?

4.如果我自己要做網站 我該用什麼方式加密產生這些參數?
5.這些參數是否又會有被解密的資安問題?

以上謝謝各位前輩

froce iT邦大師 1 級 ‧ 2022-12-27 12:39:42 檢舉
jwt 有規定格式。
https://medium.com/%E9%BA%A5%E5%85%8B%E7%9A%84%E5%8D%8A%E8%B7%AF%E5%87%BA%E5%AE%B6%E7%AD%86%E8%A8%98/%E7%AD%86%E8%A8%98-%E9%80%8F%E9%81%8E-jwt-%E5%AF%A6%E4%BD%9C%E9%A9%97%E8%AD%89%E6%A9%9F%E5%88%B6-2e64d72594f8

通常是用http header送 Authorization: Bearer [token],不會在網址看到。
你舉的網址可能是那個網頁本身內容會隨時間過期,那串網址是為了做快照用的。
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
1
㊣浩瀚星空㊣
iT邦大神 1 級 ‧ 2022-12-28 00:33:22
最佳解答

1.這一串東西是否就是jwt呢?

不是

2.如果不是的話是什麼?

不知道,要問網站開發者。

3.所謂的Expires我知道是怎麼產生的 是依照當前時間給一個期限
那麼其他的Policy或Signature這些是否也有一套公式(標準)?

沒有。

4.如果我自己要做網站 我該用什麼方式加密產生這些參數?

不要在前端加密就行,沒意義。最好是經過後端處理加密。

5.這些參數是否又會有被解密的資安問題?

任何方式都有被解密的危險性,差別在於難易度及人為因素。
就連無法還原解密的MD5都有機會破解了。
但增加困難度。就有時間成本的合算期。可扼止一些黑客。

2
揮揮手
iT邦研究生 5 級 ‧ 2022-12-27 11:43:28

1.這一串東西是否就是jwt呢
不是
JWT(JSON Web Token)
看起來應該不像json吧
可以去了解一下
前後端 認證資料的方式

2.如果不是的話是什麼?
可能是給後端判斷的參數
用途可以參考參數名稱
3.
看你想怎麼設定
4.後端吐
5.url 傳遞或是會跟前端使用者互動的
去查一下xss, sql injection 獲得相關資訊

0
eric19740521
iT邦新手 1 級 ‧ 2022-12-28 15:34:37

0.我有做一些影片.可以去看.裡面有講解jwt運作

https://studio.youtube.com/video/Jmg6lSst7jM/edit
https://studio.youtube.com/video/UHzw3OxGmSI/edit
https://studio.youtube.com/video/XJpM_W8QMTQ/edit
https://studio.youtube.com/video/vCvKVkuHcoo/edit

這個影片也值得看
https://www.youtube.com/watch?v=29CE6uK7jIU 20 成為看起來很強的後端:JWT 原理與組成

1.這一串東西是否就是jwt呢? 2.如果不是的話是什麼?

放什麼資訊??可以自己定義

3.所謂的Expires我知道是怎麼產生的 是依照當前時間給一個期限
那麼其他的Policy或Signature這些是否也有一套公式(標準)?

看影片..期限 要不要給???自己定義

4.如果我自己要做網站 我該用什麼方式加密產生這些參數?

看影片

5.這些參數是否又會有被解密的資安問題?

通常 網站Server只會給你jwt token.
通常解不了(並非不行).通常Server才能解密...

我要發表回答

立即登入回答