|
หัวข้อ: ขอสอบถามเรื่อง JWT ครับ เริ่มหัวข้อโดย: munto17 ที่ 14 สิงหาคม 2022, 00:23:52 พอดีผมยัง งง ๆ เรื่องของ Key แบบ Secret Key กับแบบ Key คู่ว่าต่างกันยังไง เรื่องคอนเซปผมพอเข้าใจบ้าง(นิดนึง) ผมขอยกตัวอย่าง RS256 กับ HS256
HS256 1. ถ้าเราทำ Token หลุด คนที่เอาก็ไปก็สามารถเปลี่ยน data + signature แทนเราได้เลยระหว่างทาง หรือ ส่งข้อมูลเหมือนเป็นตัวเราแทนได้เลย ผมเข้าใจถูกใช่ไหมครับ เพราะยังไงเขาก็รู้อยู่แล้ว่าเราเข้ารหัสด้วยเทคนิคอะไรผ่านข้อมูล Header ส่วนแรก RS256 2. ถ้าเราทำ Public key หลุด คนที่เอาก็ไปก็สามารถส่งข้อมูล data + signature ได้เลย ถ้าเขารู้โครงสร้างข้อมูลว่าต้องส่งอะไรไปบ้าง เช่นพวก select update create 3. แต่ถ้าเขาไม่รู้โครงสร้างข้อมูลที่ต้องส่ง ต่อให้รู้ Public key ก็แก้ไขระหว่างทางไม่ได้ หรือเนียนส่งไม่ได้ ผมเข้าใจถูกใช่ไหมครับ เพิ่มเติม 4.แล้วแบบนี้ทั้งสองแบบ มันก็ไม่ค่อยต่างกันเลยในเมื่อถ้ารู้ Token หรือ Public key ก็ยังมีคนเนียนส่ง data ไป server ให้ server ประมวลผลได้อยู่ดี ทางเดียวที่จะรอดได้คือ ห้ามบอก Token หรือ Public key ใครเลย คือผมยังงงว่าจะใช้ประโยชน์ RS256 ยังไงในเมื่อ เราเนียนส่งข้อมูลไป server ผ่าน Public key ที่ได้มาได้อยู่ดียังไง server ก็ถอดรหัสได้ครับ หัวข้อ: Re: ขอสอบถามเรื่อง JWT ครับ เริ่มหัวข้อโดย: Best789. ที่ 14 สิงหาคม 2022, 05:27:36 ตามครับ :) :)
หัวข้อ: Re: ขอสอบถามเรื่อง JWT ครับ เริ่มหัวข้อโดย: asa123 ที่ 15 สิงหาคม 2022, 13:45:05 :wanwan017: :wanwan017: :wanwan017:
หัวข้อ: Re: ขอสอบถามเรื่อง JWT ครับ เริ่มหัวข้อโดย: ชื่อพี หน้าตาดีมาก ที่ 15 สิงหาคม 2022, 15:57:01 :wanwan017: :wanwan017: :wanwan017:
หัวข้อ: Re: ขอสอบถามเรื่อง JWT ครับ เริ่มหัวข้อโดย: userhuman ที่ 13 ตุลาคม 2022, 19:38:11 ปกติที่ผมทำผมว่ามันก็ปลอดภัยอยู่นะครับ ให้ตั้ง Accesskey และ Refreshkey ถ้าคนเอา accesskey ไปได้แล้วเอาไปสวมแทน ต้องไวหน่อยเพราะมันหมดอายุไวมาก ถ้าโดเมนมีการกันด้วย SSL ก็น่าจะยากขึ้นไปอีกนะครับ :-[
|