我对JWT验证如何工作有点困惑。一旦用户能够登录,我的快递服务器就会使用令牌进行响应,该令牌在客户端存储在本地存储中。随着每个请求,我发送该令牌。我的问题是,如何限制用户查看他/她的特定数据(例如用户配置文件)?单独的令牌能够确定哪个用户正在请求服务器端的用户数据,还是需要将该用户名与令牌一起发送?这是安全的吗?基于令牌的Node/Express验证
0
A
回答
1
JWT令牌将包含3个部分,其中一个称为有效负载,您将在登录时使用它来存储用户的ID。当用户使用令牌发送请求时,您将解码它并获取ID从有效负载,然后查询到数据库,您可以获取用户的配置文件。
如何限制用户查看他/她的特定数据(例如,用户 配置文件)?
如果你从令牌的有效载荷的ID,那么你可以与用户希望看到的,如果它们是相同的,则意味着他希望看到他的个人资料的配置文件的ID进行比较。
是令牌单独能够决定哪些用户请求在服务器端的用户 数据或我将不得不与令牌发送用户名一起 ?
不需要用户名,因为它标识用户,所以令牌本身就足够了。
这种产品是否安全?
阅读此:http://cryto.net/~joepie91/blog/2016/06/13/stop-using-jwt-for-sessions/当然有其他意见,尝试实施最佳实践,我认为你会没事的。
相关问题
- 1. 基于角度令牌的基于身份验证的验证
- 2. 保护基于令牌的身份验证系统的令牌
- 3. 在基于令牌的身份验证中,令牌如何验证?
- 4. 基于令牌
- 5. 使用ADFS的基于令牌的身份验证
- 6. 基于Netsuite令牌的API调用中的模糊验证
- 7. SockJS/STOMP Web Socket的Spring Security“基于令牌的身份验证”
- 8. 使用Dapper micro-orm的基于令牌的身份验证
- 9. 针对PHP的基于令牌的身份验证
- 10. 基于令牌的身份验证的安全性
- 11. 基于令牌的身份验证的REST API
- 12. 基于令牌的身份验证的替代方法
- 13. 基于令牌的认证6
- 14. 流明 - 非基于令牌的保证?
- 15. 基于令牌的认证与角
- 16. REST API基于令牌的身份验证机制
- 17. 基于令牌的身份验证为ASPNET核心网络API
- 18. Web2py基于JWT的身份验证 - 刷新令牌
- 19. WCF中基于令牌的身份验证
- 20. 基于WCF休息令牌的身份验证
- 21. 基于令牌的REST API身份验证
- 22. 基于令牌邮件动作的邮件验证
- 23. 基于REST令牌的身份验证不起作用
- 24. 基于令牌的身份验证在php
- 25. 基于令牌的身份验证SecurityContextHolder有时不为空
- 26. 基于令牌的身份验证自动化应用程序
- 27. 无法使用NancyFX获得基于令牌的身份验证
- 28. 基于令牌的java登录和身份验证
- 29. 基于声明的身份验证令牌到期
- 30. 基于身份验证令牌的不同Facebook数据响应
感谢您的回复。正是我在找什么。我以前阅读过这篇文章,虽然我并不反对,但作者未能提供一个可行的选择。 – sags