我有一个使用JWT进行身份验证的MEAN堆栈应用程序。我使用Satellizer(Angular模块)来实现JWT身份验证流程。每当通过应用程序发出请求时,它都会使用承载令牌发送Authorization标头。
我的问题是当对受限制的网址发出请求时,假设/dashboard是通过地址栏发出的,浏览器不会发送授权标头,从而阻止请求。
那么在向受限制的网址发出请求时,我该怎么办才能让浏览器发送授权标头?
答案 0 :(得分:1)
如果用户直接在栏中输入地址,我担心除了重定向到错误表单之外你什么也做不了。浏览器不会发送特定标题
但是,如果要构建用户单击的链接,则可以在URL链接本身/dashboard?jwt=中添加JWT令牌。在服务器中,您必须考虑这种身份验证的情况
在这种情况下要小心,浏览器可以缓存URL并将其写入某些日志中。如果JWT已签名且未加密,则如果攻击者具有对日志文件的读访问权,则可能泄漏敏感信息。也有可能是会话劫持攻击。