我正在使用带有NodeJS的jwt作为我的身份验证令牌。目前,我签署了受众,IP和客户端到有效载荷。
我还将用户的guid放在有效负载上,以便在后续请求中,我可以使用guid找到用户; guid的一个示例是bd262477-8b93-4f2c-9dc9-175edf6e0d14。
这是不好还是安全问题?我想我要问的是你应该在有效载荷上放什么信息? guid好还是坏?
有人可以向我提供一个链接,解释为什么(或者为什么不会)对您在令牌上包含的内容存在安全问题?
答案 0 :(得分:1)
应该签署整个令牌,保护令牌体中的所有声明。
关于您可以安全地放入令牌的内容:它取决于令牌将被存储的位置"静止"。但一般来说,除非您要加密令牌,否则不应将敏感信息放入令牌中(加密是第二步,除了签名)
我在Stormpath工作,我们有几篇关于这个主题的文章:
Where to Store Your JWTs - Cookies vs HTML5 Web Storage
Token Based Authentication for Single Page Apps (SPAs)
希望这有帮助!