使用 JWT 保护 Rest API

Question

我正在尝试使用 JWT 来保护其余 API 端点的安全。我查看了一些相关问题此处和此处。

我在 JWT 中有一些敏感信息，但我使用的是 HTTPS，因此数据已经加密，这样就足够了，还是我必须加密 JWT ？

Answer 1

HTTPS 为您提供传输加密。这意味着如果有人拦截您的消息，他们将无法阅读它。但安全连接由浏览器（在用户端）终止，并且通常由服务器端的负载均衡器或 API 网关终止。这意味着任何有权访问浏览器的人都可以免费使用 JWT。也有可能从您的网络内部读取或窃取该数据（一旦通过网关/负载均衡器）。这是一个低得多的威胁，但它仍然存在。

如果 JWT 中有敏感信息，则有两个选项：

1. 您可以加密 JWT（因此使用 JWE）。这样令牌的内容在浏览器中将是安全的。即使有人读取或拦截那里的令牌，他们也无法读取它。不过，JWE 的设置有点棘手。

2. 使用幻像令牌模式。在此模式中，您向客户端发出不透明令牌，并让 API Gateway 将不透明令牌交换为 JWT。这样，您的敏感信息就可以远离浏览器，但您的 API 仍然可以从 JWT 的强大功能中受益。它也不需要设置加密。它使您容易受到网络内任何恶意行为者（无论是来自您的组织还是设法突破您的防御的人）的攻击，但这种风险要低得多。