在jsonwebtoken中的数据是不可重写的

我在使用jsonwebtoken在我的节点js服务器和jsonwebtoken里面存储用户的角色。在jsonwebtoken中的数据是不可重写的

因此，每次他做了一个请求，我只需要检查是否在令牌中给出了所需的角色。但人们可以改变这个角色吗？我知道每个人都可以看到它，但我想没有人可以改变它，没有我的秘密，对吧？

关闭当然，我总是检查jsonwebtoken是否正确签名。你认为这种方法看起来不错吗？对不起，英文不是我的主要语言

我想你会将jwt存储在Cookie或客户端的LocalStorage中。
因此，用户可以删除或更改cookie，但他不能在没有您的秘密的情况下阅读它。

因此，如果他试图更新令牌，它可能会从服务器端损坏和无法读取。

如果令牌损坏，您可能需要注销用户并将其重定向到登录页面。

如果您更改了jwt数据，然后使用不同的签名对其进行哈希处理，那么您的服务器将知道它是一个假令牌。

也确保您使用https所以您的标记不会被用于嗅探。

如果您存储在cookie中的令牌确保您把您的Cookie与仅HTTP防止饼干劫持

此外，我建议你使用CSRF令牌来阻止CSRF攻击