先不管JWT和SESSION機(jī)制,我來(lái)討論下網(wǎng)絡(luò)安全問(wèn)題�,可能說(shuō)的不對(duì),歡迎指正��。
假定現(xiàn)在你的電腦不安全�,電腦中被安裝了木馬監(jiān)聽(tīng),同時(shí)網(wǎng)關(guān)里有也中間人:
- 無(wú)論你的網(wǎng)頁(yè)中是否加密��,你在鍵盤(pán)中輸入的任何數(shù)據(jù)都會(huì)被木馬監(jiān)聽(tīng)到,這是操作系統(tǒng)層的監(jiān)聽(tīng)�;
- 你在網(wǎng)頁(yè)中鍵入的請(qǐng)求以及接收到的響應(yīng),通過(guò)網(wǎng)關(guān)都會(huì)被中間人攔截�,這是路由層的監(jiān)聽(tīng);
所以�,加密密碼必須采用哈希算法,而不是對(duì)稱(chēng)加密����;不然中間人既然可以攔截所有的請(qǐng)求和響應(yīng),而js又是明文���,你如何保證對(duì)稱(chēng)加密的秘鑰不被中間人看到呢�?
你可能會(huì)問(wèn)加密的密碼也會(huì)被看到�����,中間人也可以繞開(kāi)網(wǎng)頁(yè)��,直接發(fā)包模擬請(qǐng)求�����。是的����,確實(shí)如此����;加密密碼解決的是不讓你的密碼被明文泄露���,這樣中間人無(wú)法用你的賬戶(hù)密碼去其他應(yīng)用中撞庫(kù)。
但是傳輸?shù)闹黧w內(nèi)容是不能采用哈希算法�����,因?yàn)殡p方必須知道具體的內(nèi)容�����,這導(dǎo)致了中間人會(huì)看到明文的內(nèi)容��;(簡(jiǎn)單的JS對(duì)稱(chēng)加密是無(wú)用的�,因?yàn)镠TML是明文的,中間人也可以看到對(duì)稱(chēng)加密的秘鑰)
HTTPS解決的就是對(duì)稱(chēng)加密的問(wèn)題�,將證書(shū)提前準(zhǔn)備好,并通過(guò)瀏覽器預(yù)先安裝的根證書(shū)來(lái)避免中間人偽造證書(shū)�����,這從根本上解決對(duì)稱(chēng)加密的秘鑰問(wèn)題。
而JWT我覺(jué)得從根本上�����,并不是為了解決網(wǎng)頁(yè)安全問(wèn)題��,而是想通過(guò)一種分布式無(wú)狀態(tài)的方式來(lái)解決服務(wù)端的SESSION問(wèn)題���。
