我正在编写一个Node.js服务器,该服务器使用动态HTML页面回复HTTP GET请求,并在即时呈现#34;根据客户要求检索一些数据。
为了识别每个客户端,我使用会话令牌(JWT),并将其作为每个GET请求中的查询参数发送回服务器,以及其他信息,即:
my.domain/api/service?token=blablabla&req=123
确实如此。我想知道发送会话令牌作为查询参数是否是一个好的(和安全的)想法。
我会在标题中发送它,但在客户端页面上更难,因为现在我只是在上面的网址上设置了href标记。
您是否建议采用其他方式?
答案 0 :(得分:1)
安全方面,只要它不包含敏感信息(例如密码)并不重要,因为它没有加密,它被编码并且令牌可以被解码容易。
即使某人(黑客,用户等)更改了令牌,服务器也会验证并注意到(如果您已正确设置验证)并且您可以拒绝访问页面,媒体,数据或者用户要求的任何内容。
重要! 使用SSL!否则黑客可以从其所有者那里窃取令牌并自行使用,服务器只会检查它是否有效而不是更改,而不是它来自哪里从。阅读更多:man-in-the-middle attack
你是如何做到的,完全取决于你和你的项目,但我会亲自通过标题发送。