那些遇到过的问题

JSON Web令牌(JWT)安全

use*_*056 1 node.js express jwt

我正在使用Node.js,MySQL和JSON Web令牌构建API。

我的JWT看起来像这样:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJyb2xlcyI6WyJsb2dnZWRfaW4iLCJhZG1pbiJdLCJpZCI6NzEsImlhdCI6MTQ1OTQ0NjU5MCwiZXhwIjoxNDU5NTMyOTkwfQ.BBbdyFMztYkXlhcBjW6D5SsKxtaRiZJqiNShOroQmhk
Run Code Online (Sandbox Code Playgroud)

及其声明解码为: 

{"roles":["logged_in","admin"],"id":71,"iat":1459446590,"exp":1459532990}
Run Code Online (Sandbox Code Playgroud)

当api端点接收到该JWT时,调用ID为71的User表以获取任何相关详细信息或使用JWT中的ID是否更安全?

理想情况下,我们将保存对User表的大量调用,但是是否存在安全威胁?恶意用户不能在调用端点之前更改该ID或角色吗?

nod*_*man 5

JWT已签名。如果用户更改了有效负载上的任何内容,签名验证将失败,并且您将知道数据被篡改。

话虽如此,数据本身并未加密。您可以使用用户ID,但除了可能公开的信息外,不要添加敏感信息。

有关JWT验证和生命周期的更多信息:

https://github.com/auth0/node-jsonwebtoken#jwtverifytoken-secretorpublickey-options-callback

归档时间:

查看次数:

530 次

最近记录:

9 年,7 月 前
相关归档
Jest messageParent 只能在 worker 内部使用 26
使用Webpack,是否可以仅生成CSS,不包括output.js? 25
Auth0中id_token和access_token的区别是什么 22
使用StatsD(通过etsy)和Graphite跟踪指标,石墨图似乎没有绘制所有数据 21
是否有可能从Meteor建立一个无头的基于节点的客户端? 13
堆使用在 PM2 中意味着什么 12
如何使用socket.io发送二进制数据? 11
在 Node.js Express 中禁用 TLS 1.0 和 1.1 或仅使用 TLS 1.2 及更高版本 6
无论如何,Node.js中的Express可以有多个静态文件夹吗? 3
如何在 Asp.net Core 中手动验证 JWT 签名 2
难疑归档
检测未定义的对象属性 2742
你如何设置,清除和切换一个位? 2454
有没有办法对字符串进行子串? 1995
带请求正文的HTTP GET 1896
什么是控制倒置? 1704
<快于<=? 1508
如何在python字符串中打印文字大括号字符并在其上使用.format? 1320
如何使用sed替换换行符(\n)? 1295
如何分析Python脚本? 1203
自我的目的是什么? 1061