JWTがハイジャックされ、元のユーザーになりすますのを防ぐのは何ですか？

攻撃者がネットワークトラフィックを盗聴し、セッションCookieを盗んで他のユーザーになりすますことにより、かなりのリスクがもたらされます。ただし、JWTはこのリスクに対処するように設計されていません。あなたはその問題に対処するためにSSL/HTTPSを持っています。ブラウザとWebサーバー間のSSL接続は、機密性と転送中のデータセキュリティを提供します。 HTTP接続でJWTを使用している場合、攻撃者がトラフィックを傍受してトークンを悪用することを防ぐためにできることはあまりありません。

JWTは、異なるシステム間で認証情報を共有するために使用される自己完結型のトークンです。 JWTの検証に必要なすべての情報がトークン自体に含まれているため、認証トークンの検証をサードパーティに依存するという問題を解決します。これにより、最小限の統合が必要になるため、シングルサインオンシステムでのオンボーディングプロセスが簡素化されます。 JWTは単なるBASE-64文字列であるため、HTTPにも対応しています。

JWTは過去に セキュリティの問題 を共有してきました。 もっと読む 。

追伸トークンの検証に適切な公開鍵を取得するには、サードパーティに依存する必要があります。

私は過去にもこのセキュリティ関連の問題に直面していますが、laravelでそのようにすることができます。ミドルウェアを1つ作成し、Originをそのように確認します。

<?php
namespace App\Http\Middleware;
use Closure;
class CheckOrigin
{
    public function handle($request, Closure $next)
    {
        if($request->header('Origin') != 'http://yourapihost.com') {
            return response()->json([
                'meta' => [
                    'message' => 'You are Unauthorize person.',
                    'status_code' => 401,
                    'status' => false,
                ],
            ],401);
        }
        return $response;
    }
}

そのため、誰かがあなたのjwtトークンをハイジャックし、別のサーバーまたはローカルホストからリクエストを呼び出そうとすると、ミドルウェアはそのようなリクエストを許可しません。

コンテキストを提供するためにジャンプしています。

JWTがハイジャックされ、元のユーザーになりすますのを防ぐのは何ですか？

他の人が述べたように、何もない。 JWT自体はこれに対する保護を提供しません。

通信チャネルが侵害された場合でも保護を提供する認証スキームがあります。これらは signature schemes と呼ばれます。それらはHTTPリクエスト、つまり名前に署名することで機能します。それらは標準がなく複雑で、主にバックエンド通信間で使用されます。