我對JWT驗證如何工作有點困惑。一旦用戶能夠登錄,我的快遞服務器就會使用令牌進行響應,該令牌在客戶端存儲在本地存儲中。隨着每個請求,我發送該令牌。我的問題是,如何限制用戶查看他/她的特定數據(例如用戶配置文件)?單獨的令牌能夠確定哪個用戶正在請求服務器端的用戶數據,還是需要將該用戶名與令牌一起發送?這是安全的嗎?基於令牌的Node/Express驗證
0
A
回答
1
JWT令牌將包含3個部分,其中一個稱爲有效負載,您將在登錄時使用它來存儲用戶的ID。當用戶使用令牌發送請求時,您將解碼它並獲取ID從有效負載,然後查詢到數據庫,您可以獲取用戶的配置文件。
如何限制用戶查看他/她的特定數據(例如,用戶 配置文件)?
如果你從令牌的有效載荷的ID,那麼你可以與用戶希望看到的,如果它們是相同的,則意味着他希望看到他的個人資料的配置文件的ID進行比較。
是令牌單獨能夠決定哪些用戶請求在服務器端的用戶 數據或我將不得不與令牌發送用戶名一起 ?
不需要用戶名,因爲它標識用戶,所以令牌本身就足夠了。
這種產品是否安全?
閱讀此:http://cryto.net/~joepie91/blog/2016/06/13/stop-using-jwt-for-sessions/當然有其他意見,嘗試實施最佳實踐,我認爲你會沒事的。
相關問題
- 1. 基於角度令牌的基於身份驗證的驗證
- 2. 保護基於令牌的身份驗證系統的令牌
- 3. 在基於令牌的身份驗證中,令牌如何驗證?
- 4. 基於令牌
- 5. 使用ADFS的基於令牌的身份驗證
- 6. 基於Netsuite令牌的API調用中的模糊驗證
- 7. SockJS/STOMP Web Socket的Spring Security「基於令牌的身份驗證」
- 8. 使用Dapper micro-orm的基於令牌的身份驗證
- 9. 針對PHP的基於令牌的身份驗證
- 10. 基於令牌的身份驗證的安全性
- 11. 基於令牌的身份驗證的REST API
- 12. 基於令牌的身份驗證的替代方法
- 13. 基於令牌的認證6
- 14. 流明 - 非基於令牌的保證?
- 15. 基於令牌的認證與角
- 16. REST API基於令牌的身份驗證機制
- 17. 基於令牌的身份驗證爲ASPNET核心網絡API
- 18. Web2py基於JWT的身份驗證 - 刷新令牌
- 19. WCF中基於令牌的身份驗證
- 20. 基於WCF休息令牌的身份驗證
- 21. 基於令牌的REST API身份驗證
- 22. 基於令牌郵件動作的郵件驗證
- 23. 基於REST令牌的身份驗證不起作用
- 24. 基於令牌的身份驗證在php
- 25. 基於令牌的身份驗證SecurityContextHolder有時不爲空
- 26. 基於令牌的身份驗證自動化應用程序
- 27. 無法使用NancyFX獲得基於令牌的身份驗證
- 28. 基於令牌的java登錄和身份驗證
- 29. 基於聲明的身份驗證令牌到期
- 30. 基於身份驗證令牌的不同Facebook數據響應
感謝您的回覆。正是我在找什麼。我以前閱讀過這篇文章,雖然我並不反對,但作者未能提供一個可行的選擇。 – sags