在jsonwebtoken中的数据是不可重写的

我在使用jsonwebtoken在我的节点js服务器和jsonwebtoken里面存储用户的角色。在jsonwebtoken中的数据是不可重写的

因此,每次他做了一个请求,我只需要检查是否在令牌中给出了所需的角色。但人们可以改变这个角色吗? 我知道每个人都可以看到它,但我想没有人可以改变它,没有我的秘密,对吧?

关闭当然,我总是检查jsonwebtoken是否正确签名。 你认为这种方法看起来不错吗? 对不起,英文不是我的主要语言

回答:

我想你会将jwt存储在Cookie或客户端的LocalStorage中。
因此,用户可以删除或更改cookie,但他不能在没有您的秘密的情况下阅读它。

因此,如果他试图更新令牌,它可能会从服务器端损坏和无法读取。

如果令牌损坏,您可能需要注销用户并将其重定向到登录页面。

回答:

如果您更改了jwt数据,然后使用不同的签名对其进行哈希处理,那么您的服务器将知道它是一个假令牌。

也确保您使用https所以您的标记不会被用于嗅探。

如果您存储在cookie中的令牌确保您把您的Cookie与仅HTTP防止饼干劫持

此外,我建议你使用CSRF令牌来阻止CSRF攻击

以上是 在jsonwebtoken中的数据是不可重写的 的全部内容, 来源链接: utcz.com/qa/266073.html

回到顶部