Security 在AJAX调用中保护JWT令牌

假设站点A有一段javascript，它对站点B上的端点执行ajax调用。站点A使用从站点B生成的JWT对请求进行身份验证

用户仅仅通过检查（例如Chrome）请求及其头文件就不能获得JWT吗？然后他可以使用JWT并提出自己的请求

如果是这样，在浏览器中进行ajax调用时，如何使用JWT，而不在javascript文件中使用纯文本

e、 g

$.ajax({
键入：“获取”，
发送前：功能（请求）
{
setRequestHeader（“授权”，“持票人EYJHBGIUZIKPXVCJ9.EYJPC3mioIJHrWcZOvL2PZhauzHbXBsS5JB20IlCjZDWIjYLsDgBwLrZUlZUblegfTcGxLnVbSiiI6TqZNd0Nd0Nd0OtqOdzPyXe0Md0RdQdQdQdQyMdQmXmXmSimp0Asi6Ij2Ij2Ij2Ij2IzHmHmHmHmTcHmTd2Ij2Ij2Ij2Ij2Ij2Ij2Ij2Ij2Ij2IzHmHmHmHmHmHmHmHmHmHmHmHmHmH；
},
url:“https://siteb.com/api/articles/",
成功：功能（数据）{
//处理数据
}
})；

是的，用户可以在浏览器上访问JWT令牌-这与cookie没有什么不同

对于B的用户授权您的应用程序A代表其访问B的场景，不需要保护JWT令牌不受用户本人的影响-只需保护第三方

如果您设想一个场景，其中服务B以某种方式授权您的应用程序a访问它，那么JWT令牌永远不应该进入浏览器，而是留在a的服务器端。然后，您的AJAX调用应该进入a，a使用适当的JWT与B通信