আমি এমন নোড লাইব্রেরির লেখক যা প্রমাণকে কিছুটা গভীরতার সাথে প্রকাশ করে , এক্সপ্রেস-স্টর্ম্প্যাথ , তাই আমি এখানে কিছু তথ্য দিয়ে চিমি দেব।
প্রথমত, জেডব্লিউটিগুলি সাধারণত এনক্রিপ্ট করা হয় না । জেডাব্লুটি টি এনক্রিপ্ট করার একটি উপায় রয়েছে (দেখুন: জেডাব্লুই ), এটি অনেক কারণেই বাস্তবে খুব বেশি সাধারণ নয়।
পরবর্তী, প্রমাণীকরণের যে কোনও ফর্ম (JWTs ব্যবহার করুন বা না), MitM আক্রমণগুলির (ম্যান-ইন-দ্য-মিডল) আক্রমণের সাপেক্ষে। আপনি যখন ইন্টারনেটে অনুরোধ করবেন তখন কোনও আক্রমণকারী আপনার নেটওয়ার্ক ট্র্যাফিকটি দেখতে পারে যখন এই আক্রমণগুলি ঘটে। আপনার আইএসপি এটি দেখতে পারে, এনএসএ ইত্যাদি is
এসএসএল এর বিরুদ্ধে এটি রোধ করতে সহায়তা করে: আপনার কম্পিউটার থেকে আপনার নেটওয়াক ট্র্যাফিক এনক্রিপ্ট করে -> কিছু সার্ভার প্রমাণীকরণের সময়, তৃতীয় পক্ষের যারা আপনার নেটওয়ার্ক ট্রাফিক নিরীক্ষণ করছে তারা আপনার টোকেন, পাসওয়ার্ড বা এ জাতীয় কিছু দেখতে পাবে না যদি না তারা কোনওভাবে সক্ষম হয় সার্ভারের প্রাইভেট এসএসএল কীটির অনুলিপি পেতে (অসম্ভব)। এই কারণেই সমস্ত ধরণের প্রমাণীকরণের জন্য এসএসএল ম্যান্ডেটরয়।
যাইহোক, বলি যে কেউ আপনার এসএসএলকে কাজে লাগাতে সক্ষম হয়েছে এবং আপনার টোকেনটি দেখতে সক্ষম হয়েছে: আপনার প্রশ্নের উত্তর হ্যাঁ , আক্রমণকারী আপনার এই ছদ্মবেশটি তৈরি করতে এবং আপনার সার্ভারে অনুরোধ জানাতে সক্ষম হবে to
এখন, এখানেই প্রোটোকল আসবে।
JWT গুলি একটি প্রমাণীকরণ টোকেনের জন্য কেবল একটি মান। এগুলি বেশ কিছু কিছুর জন্য ব্যবহার করা যেতে পারে। জেডাব্লুটিটি দুর্দান্ত ধরণের হওয়ার কারণ হ'ল আপনি এগুলিতে অতিরিক্ত তথ্য এম্বেড করতে পারেন এবং আপনি এটি যাচাই করতে পারেন যে এটির সাথে কেউই গোলমাল করেনি (সাইন ইন)।
তবুও, জেডব্লিউটিগুলির নিজেরাই 'সুরক্ষা' দিয়ে কিছু করার নেই। সমস্ত উদ্দেশ্য এবং উদ্দেশ্যগুলির জন্য, JWT গুলি কমবেশি এপিআই কীগুলির মতো একই জিনিস: কেবলমাত্র এলোমেলো স্ট্রিং যা আপনি কোথাও কোনও সার্ভারের বিরুদ্ধে প্রমাণীকরণ করতে ব্যবহার করেন।
আপনার প্রশ্নটি কী আকর্ষণীয় করে তোলে তা হ'ল প্রোটোকলটি ব্যবহার করা হচ্ছে (সম্ভবত OAuth2)।
OAuth2 যেভাবে কাজ করে তা হ'ল এটি ক্লায়েন্টকে কেবলমাত্র সময়ের শর্ট প্যারিডের জন্য প্রমাণীকরণের জন্য টেম্পোরারি টোকেনগুলি (JWTs এর মতো!) দেওয়ার জন্য ডিজাইন করা হয়েছিল!
ধারণাটি হ'ল যদি আপনার টোকেনটি চুরি হয়ে যায়, আক্রমণকারী কেবলমাত্র অল্প সময়ের জন্য এটি ব্যবহার করতে পারে।
OAuth2- এর সাহায্যে আপনাকে প্রতিবার আপনার ব্যবহারকারী নাম / পাসওয়ার্ড বা এপিআই শংসাপত্র সরবরাহ করে এবং তারপরে বিনিময়ে টোকেন ফিরে পেয়ে সার্ভারের সাথে নিজেকে পুনরায় প্রমাণীকরণ করতে হয়।
যেহেতু এই প্রক্রিয়াটি এখনই ঘটে চলেছে, আপনার টোকেনগুলি ঘন ঘন পরিবর্তিত হবে, আক্রমণকারীদের পক্ষে দুর্দান্ত ঝামেলা ছাড়াই ধারাবাহিকভাবে আপনার ছদ্মবেশ তৈরি করা আরও শক্ত হয়ে যায়।
আশা করি এটি সহায়তা করে ^^