所以我在NodeJS中有一个使用Express的API,我想保护它,所以只有我或已知的客户才能使用它。我找到了关于JSON Web令牌但不确定如果我使用JQuery从Web客户端向API发出AJAX请求时如何保持密钥安全。人们将能够获得密钥并自行提出请求吗?
如何防止这种情况?或者我误解了JSON Web令牌的概念。
其他较小的问题,我发现jsonwebtoken npm包似乎很受欢迎,你可以签署一个网络令牌并验证一个。验证如何运作?我知道你传了一个秘密,但是同一个秘密用于多个签名密钥吧?我原本以为我将密钥存储在数据库或其他东西中,并验证请求中提供的密钥是否在我的数据库中,但由于您没有存储密钥,情况似乎并非如此。