我正在使用JWT实现基于令牌的身份验证,并且从我到目前为止所读到的内容来看,在整个会话中存储它的方法是通过localstorage / cookie。由于该值对于可以使用开发工具栏查看cookie的人是明文,有什么阻止某人使用该令牌并将其发送到公开的端点上?
答案 0 :(得分:0)
在正常情况下,能够通过开发工具栏获取令牌的用户是能够以常规方式获取令牌的用户。所以这不应该是一个安全问题。
每个JWT令牌都应包含一个受众(aud)声明,该声明由每个资源检查。因此,令牌不能用于访问尚未发布的终端。