0
我正在使用JWT實現基於令牌的身份驗證,並且從目前爲止我所讀到的內容來看,貫穿整個會話存儲它的方式是通過localstorage/cookie。由於對於可以使用開發工具欄查看cookie的用戶而言,該值是明文,因此阻止某人使用該令牌並將其發佈到公開暴露的端點上的方法是什麼?JWT令牌在瀏覽器中的安全性如何?
我正在使用JWT實現基於令牌的身份驗證,並且從目前爲止我所讀到的內容來看,貫穿整個會話存儲它的方式是通過localstorage/cookie。由於對於可以使用開發工具欄查看cookie的用戶而言,該值是明文,因此阻止某人使用該令牌並將其發佈到公開暴露的端點上的方法是什麼?JWT令牌在瀏覽器中的安全性如何?
在正常情況下,能夠通過開發工具欄獲取標記的用戶是能夠以常規方式獲取標記的用戶。所以這不應該是一個安全問題。
每個JWT標記都應包含受衆(aud)聲明,並由每個資源檢查。所以令牌不能用於訪問它未被髮布的端點。