簡體 English 中英

jsonwebtoken中的數據是否不可重寫

[英]does data in jsonwebtoken are un rewritable

原文 2017-12-27 15:33:14 2 2 node.js/ roles/ json-web-token

我在節點js服務器上使用jsonwebtoken ，並且在jsonwebtoken內部存儲了用戶角色。

因此，每次他提出請求時，我只需要檢查令牌中是否指定了所需角色。 但是人們可以改變這個角色嗎？ 我知道每個人都可以看到它，但是我想如果沒有我的秘密，沒有人可以更改它，對嗎？

當然，我總是檢查jsonwebtoken是否正確簽名。 您認為這種方法看起來不錯嗎？ 抱歉，英語不是我的主要語言

2 個解決方案

如果更改jwt數據，然后使用其他簽名對其進行哈希處理，則服務器將知道其為偽造令牌。

還請確保您使用https，這樣您的令牌就不會被嗅探器使用。

如果您將令牌存儲在cookie中，請確保將cookie放在僅帶http的位置，以防止cookie劫持

我也建議您使用csrf令牌來防止csrf攻擊

我猜您將jwt存儲在Cookie或客戶端的LocalStorage中。
因此，用戶可以刪除或更改Cookie，但是如果沒有您的秘密，他將無法讀取它。

因此，如果他嘗試更新令牌，則令牌可能會損壞並且無法從您的服務器端讀取。

如果令牌已損壞，您可能需要注銷用戶並將其重定向到登錄頁面。

nodejs-JSONWebToken不會過期

[英]nodejs - JSONWebToken does not expire

jsonwebtoken: expiresIn 不會過期？

[英]jsonwebtoken: expiresIn does not expires?

無法從節點中的 jsonwebtoken 獲取有效負載數據

[英]Cannot get payload data from jsonwebtoken in node

jsonwebtoken 不在標題中

[英]jsonwebtoken not in headers

jsonwebtoken：什么是有效載荷

[英]jsonwebtoken: what is payload

刷新令牌 Jsonwebtoken

[英]Refresh Token Jsonwebtoken

在前端存儲JsonWebToken

[英]Storing JsonWebToken in frontend

jsonwebtoken不會過期

[英]jsonwebtoken doesn't expire

創建 jsonwebtoken 進行身份驗證

[英]Creating jsonwebtoken to authentication

nodejs - JSONWebToken到期問題

[英]nodejs - JSONWebToken expiration issue

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 nodejs-JSONWebToken不會過期 jsonwebtoken: expiresIn 不會過期？無法從節點中的 jsonwebtoken 獲取有效負載數據 jsonwebtoken 不在標題中 jsonwebtoken：什么是有效載荷刷新令牌 Jsonwebtoken 在前端存儲JsonWebToken jsonwebtoken不會過期創建 jsonwebtoken 進行身份驗證 nodejs - JSONWebToken到期問題

相關標簽

jsonwebtoken中的數據是否不可重寫

問題描述

2 個解決方案

解決方案1
1 2017-12-27 16:11:57

解決方案2
0 2017-12-27 15:44:31

jsonwebtoken中的數據是否不可重寫

問題描述

2 個解決方案

解決方案1 1 2017-12-27 16:11:57

解決方案2 0 2017-12-27 15:44:31

解決方案1
1 2017-12-27 16:11:57

解決方案2
0 2017-12-27 15:44:31