为什么从本地存储中删除后仍可以使用JWT令牌

时间:2018-08-15 13:24:54

标签: jwt

从本地存储中删除JWT之后,为什么在HTTP标头中发送令牌以进行节点API调用?当我使用浏览器的后退按钮转到上一页并执行任何操作时(角度6)。

1 个答案:

答案 0 :(得分:0)

显然,出于某种原因,浏览器正在缓存JWT。但是,这对您来说并不是真正的安全性问题,因为通常,您的Node应用程序将始终必须验证传入的JWT是否有效并且可以信任。进入您的Node应用程序的请求的通常工作流程如下所示:

  • 浏览器向您的Node应用程序中的某个端点(包括JWT)发送请求
  • Node应用程序收到JWT
  • 它可能会检查索赔,但
  • 它可能会通过点击数据库表来检查诸如用户状态之类的东西

JWT不是(也不应视为)无条件访问您的Node应用程序的许可证。诸如声明之类的事情与浏览器状态无关,因此此缓存问题应该不是真正的问题。而且,在大多数情况下,您的Node应用会希望在服务器端运行其他检查。

相关问题
最新问题