ยินดีต้อนรับคุณ, บุคคลทั่วไป กรุณา เข้าสู่ระบบ หรือ ลงทะเบียน

เข้าสู่ระบบด้วยชื่อผู้ใช้ รหัสผ่าน และระยะเวลาในเซสชั่น

ThaiSEOBoard.comพัฒนาเว็บไซต์Programmingขอสอบถามเรื่อง JWT ครับ
หน้า: [1]   ลงล่าง
พิมพ์
ผู้เขียน หัวข้อ: ขอสอบถามเรื่อง JWT ครับ  (อ่าน 2043 ครั้ง)
0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้
munto17
Newbie
*

พลังน้ำใจ: 0
ออฟไลน์ ออฟไลน์

กระทู้: 6



ดูรายละเอียด
« เมื่อ: 14 สิงหาคม 2022, 00:23:52 »

พอดีผมยัง งง ๆ เรื่องของ Key แบบ Secret Key กับแบบ  Key คู่ว่าต่างกันยังไง เรื่องคอนเซปผมพอเข้าใจบ้าง(นิดนึง) ผมขอยกตัวอย่าง RS256 กับ HS256

HS256
1. ถ้าเราทำ Token หลุด คนที่เอาก็ไปก็สามารถเปลี่ยน data + signature แทนเราได้เลยระหว่างทาง หรือ ส่งข้อมูลเหมือนเป็นตัวเราแทนได้เลย ผมเข้าใจถูกใช่ไหมครับ เพราะยังไงเขาก็รู้อยู่แล้ว่าเราเข้ารหัสด้วยเทคนิคอะไรผ่านข้อมูล Header ส่วนแรก

RS256
2. ถ้าเราทำ Public key หลุด คนที่เอาก็ไปก็สามารถส่งข้อมูล data + signature ได้เลย ถ้าเขารู้โครงสร้างข้อมูลว่าต้องส่งอะไรไปบ้าง เช่นพวก select update create
3. แต่ถ้าเขาไม่รู้โครงสร้างข้อมูลที่ต้องส่ง ต่อให้รู้ Public key ก็แก้ไขระหว่างทางไม่ได้ หรือเนียนส่งไม่ได้ ผมเข้าใจถูกใช่ไหมครับ

เพิ่มเติม
4.แล้วแบบนี้ทั้งสองแบบ มันก็ไม่ค่อยต่างกันเลยในเมื่อถ้ารู้ Token หรือ Public key ก็ยังมีคนเนียนส่ง data ไป server ให้ server ประมวลผลได้อยู่ดี ทางเดียวที่จะรอดได้คือ ห้ามบอก Token หรือ Public key ใครเลย คือผมยังงงว่าจะใช้ประโยชน์ RS256 ยังไงในเมื่อ
เราเนียนส่งข้อมูลไป server ผ่าน Public key ที่ได้มาได้อยู่ดียังไง server ก็ถอดรหัสได้ครับ
« แก้ไขครั้งสุดท้าย: 14 สิงหาคม 2022, 00:24:22 โดย munto17 » บันทึกการเข้า
Best789.
ก๊วนเสียว
*

พลังน้ำใจ: 5
ออฟไลน์ ออฟไลน์

กระทู้: 300



ดูรายละเอียด เว็บไซต์
« ตอบ #1 เมื่อ: 14 สิงหาคม 2022, 05:27:36 »

ตามครับ  Smiley Smiley
บันทึกการเข้า
asa123
ก๊วนเสียว
*

พลังน้ำใจ: 5
ออฟไลน์ ออฟไลน์

กระทู้: 335



ดูรายละเอียด
« ตอบ #2 เมื่อ: 15 สิงหาคม 2022, 13:45:05 »

 wanwan017 wanwan017 wanwan017
บันทึกการเข้า
ชื่อพี หน้าตาดีมาก
สมุนแก๊งเสียว
*

พลังน้ำใจ: 10
ออฟไลน์ ออฟไลน์

กระทู้: 504



ดูรายละเอียด เว็บไซต์
« ตอบ #3 เมื่อ: 15 สิงหาคม 2022, 15:57:01 »

 wanwan017 wanwan017 wanwan017
บันทึกการเข้า
userhuman
ก๊วนเสียว
*

พลังน้ำใจ: 8
ออฟไลน์ ออฟไลน์

กระทู้: 217



ดูรายละเอียด เว็บไซต์
« ตอบ #4 เมื่อ: 13 ตุลาคม 2022, 19:38:11 »

ปกติที่ผมทำผมว่ามันก็ปลอดภัยอยู่นะครับ ให้ตั้ง Accesskey และ Refreshkey ถ้าคนเอา accesskey ไปได้แล้วเอาไปสวมแทน ต้องไวหน่อยเพราะมันหมดอายุไวมาก ถ้าโดเมนมีการกันด้วย SSL ก็น่าจะยากขึ้นไปอีกนะครับ  Embarrassed
บันทึกการเข้า

หน้า: [1]   ขึ้นบน
พิมพ์