JWT успешно проверяется различными успешно вошедшими в систему пользователями

Question

Я создал API-интерфейс шлюза для проверки пользователей с помощью jwt, выполнив следующие действия:

https://medium.com/@arjunac009/spring-boot-microservice-with-centralized-authentication-zuul-eureka-jwt-5719e05fde29

Все работает нормально, но я столкнулся с проблемой.Я использую Рестлет и Почтальон для тестирования.Я вошел в систему с двумя разными пользователями, используя эти 2 инструмента тестирования, и получил 2 разных JWT.Однако эти JWT успешно проходят валидацию для разных пользователей.Означает, что если я передаю JWT 1-го пользователя для выполнения безопасных операций со 2-м пользователем, проверка прошла успешно.Я не думаю, что это желательное поведение.Потому что, если кто-то взломает jwt одного пользователя, он может выполнять операции под вторым пользователем.

Answer 1

Любой тип аутентификации на основе токенов также имеет такую ​​проблему атаки типа «человек посередине», которую JWT может украсть злоумышленник, прослушивая сетевой трафик. Вот почему нам нужно использовать SSL для шифрования сетевого трафика, если мы хотим предотвратить перехват сетевого трафика.

С другой стороны, вы можете ввести время истечения срока действия JWT таким образом, чтобы в случае кражи JWT другими лицами его можно было использовать только в течение короткого периода времени.