0
這是一個關於在Slim PHP API中實現JWT的最佳方式的問題 - 我正在尋找有關如何繼續操作的高級/經驗豐富的開發人員的一些指導。在PHP Slim API中查詢字符串JWT JSON Web Token身份驗證
我目前有一個開放的API,用戶可以使用查詢參數(如設備和日期時間範圍)來執行獲取請求以獲取數據。我也有設備發佈數據,沒有身份驗證。我們尚未投入生產,但顯然這很糟糕。
爲了解決這個問題,我一直在尋找在第一種情況下對GET請求實現無狀態身份驗證,特別是使用JWT。我最初考慮將JWT作爲查詢字符串傳遞給用戶,並在用戶登錄後重新設置通過Web前端執行的令牌。但是,我可以看到這對於中間人攻擊是不利的和我的令牌被暴露(如果使用普通的http)。如果我要確保所有獲取/發佈請求都是作爲https請求執行的,這是否足夠安全?
什麼似乎是更安全的方式將令牌通過標題。但從我所瞭解的情況來看,您需要Postman之類的東西才能發送請求,這不是一種真正的選擇,因爲我的用戶只想使用瀏覽器訪問數據。