我想知道是否会是最佳实践使用客户端指纹作为 JWT 秘密进行编码。然而,我在 WWW 上找不到有关这个问题的任何内容,但到目前为止,我这样做是有意义的。
我正在考虑使用 JavaScript 生成指纹客户端,并在每次调用时将其发送到 API。然后,API 应将指纹与硬编码秘密一起使用来对令牌进行编码和解码。
这不是防止CSRF的好方法吗?
还是我错过了其他东西?
或者一般来说:使用 JWT 防止 CSRF 的最佳方法是什么?
(我正在使用 PHP 和 VueJS,是否有与案例相关的解决方案?)
我从来没有听说过这个。
令牌使用私钥或共享密钥进行签名。使用指纹意味着您可以将一根(或多根)手指与私钥相关联,然后计算令牌。
然而,这看起来非常相似网络认证协议 https://www.w3.org/TR/webauthn/我正在与.使用Android设备时,浏览器可以与指纹/屏幕锁交互来验证用户身份。设备发送的数据是 JWT,可以使用 Google API 进行验证(请参阅Android 安全网 https://www.w3.org/TR/webauthn/#android-safetynet-attestation).
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)