标签: javascript api single-page-application jwt
我正在考虑使用javascript制作应用并将其设为SPA。
使用JWT令牌对用户进行身份验证并在应用上设置用户角色,保护敏感内容的最佳方法是什么?
对记录的页面使用html模板是不是很糟糕?我应该总是从api返回敏感内容吗?
由于
答案 0 :(得分:1)
动态的一切都应该通过您的网络服务传递。如果你不能不正确地使用任何东西(比如使用没有注入防护的SQL驱动程序),就不会有任何不安全的事情(至少在第一阶段)。
另外,为防止MiM攻击,您应该使用SSL / TLS。
答案 1 :(得分:1)
您可以加密JWT。这种加密在RFC7516中定义。
根据服务器端和客户端(JS)使用的编程语言,您可能会找到支持JWE的库。
在jwt.io,您会找到这些库的列表。