Node.js JSON Web令牌(JWT)安全性
我正在使用Node.js、MySQL和jsonweb令牌构建一个api 我的JWT看起来像这样:Node.js JSON Web令牌(JWT)安全性,node.js,express,jwt,Node.js,Express,Jwt,我正在使用Node.js、MySQL和jsonweb令牌构建一个api 我的JWT看起来像这样: eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJyb2xlcyI6WyJsb2dnZWRfaW4iLCJhZG1pbiJdLCJpZCI6NzEsImlhdCI6MTQ1OTQ0NjU5MCwiZXhwIjoxNDU5NTMyOTkwfQ.BBbdyFMztYkXlhcBjW6D5SsKxtaRiZJqiNShOroQmhk 其声明被解读为: {"roles":["
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJyb2xlcyI6WyJsb2dnZWRfaW4iLCJhZG1pbiJdLCJpZCI6NzEsImlhdCI6MTQ1OTQ0NjU5MCwiZXhwIjoxNDU5NTMyOTkwfQ.BBbdyFMztYkXlhcBjW6D5SsKxtaRiZJqiNShOroQmhk
其声明被解读为:
{"roles":["logged_in","admin"],"id":71,"iat":1459446590,"exp":1459532990}
当api端点接收到该JWT时,调用id为71的用户表以获取任何相关细节或使用JWT的id是否更安全
理想情况下,我们可以保存大量对用户表的调用,但是是否存在安全威胁?恶意用户不能在调用终结点之前更改该id或角色吗?JWT已签名。如果用户更改负载上的任何内容,签名验证将失败,您将知道数据被篡改 也就是说,数据本身没有加密。您可以使用用户ID,但除了可能是公共的信息外,不要添加敏感信息 关于JWT验证和生命周期的更多信息:
JWT已签署。如果用户更改负载上的任何内容,签名验证将失败,您将知道数据被篡改 也就是说,数据本身没有加密。您可以使用用户ID,但除了可能是公共的信息外,不要添加敏感信息 关于JWT验证和生命周期的更多信息:
完美。非常感谢!完美的非常感谢!