API Shield’s JWT Validation ngăn chặn các cuộc tấn công phát lại JWT (JWT replay attack) và giả mạo JWT (JWT tampering) bằng cách xác minh mật mã (cryptographically verifying) các JWT nhận được trước khi chúng được gửi đến API gốc của bạn.
JWT Validation cũng sẽ chặn các yêu cầu có token đã hết hạn hoặc token chưa hợp lệ (chưa đến thời gian sử dụng).
Thêm cấu hình Token Validation:
Security > API Shield > Settings.
dưới JSON Web Token Settings, select Add configuration.
Chọn cấu hình header là Authoriation hoặc cookie ( nơi bạn đặt JWT ) để cloudflare biết để kiểm tra.
Thêm JWT issuer’s public key(s) (JWKS) của bạn vô. Ví dụ về Json Web Key Public
save lại
Tạo rule kiểm tra JWT
Go to Security > API Shield > API Rules.
Chọn hostname và đường dẫn Endpoint API mà bạn cần bảo vệ
chọn Token để kiểm tra cho hostname . ở If token is missing : Ignore là bỏ qua kiểm tra nếu bị thiếu trường JWT , Mask as non-compliant là đánh cờ là không tuân thủ
