我正在学习Angular并通过检查令牌是否过期来查看许多用户授权示例。例如,如果用户有一个令牌并且它没有过期,那么让他访问受保护的根。我不明白,这是一个简化的例子,还是通常的做法。从技术上讲,如果我的令牌没有过期但签名无效,我仍然会通过授权的初始阶段并“接近”受保护的资源。我误解了什么吗?
然后,如果我也在后端使用Django REST JWT,它允许在服务器端verify token。这意味着应该在每个操作上将请求发送到服务器。这不是一种正确的授权方式,还是有另一个目的?
一般来说,授权用户或用户操作的正确方法是什么?
答案 0 :(得分:0)
您的客户端应用程序(Angular App)确实无法验证JWT,也无法解码JWT并检查到期日期。
你的Angular App应该:
Authorization: Bearer xxxxxxxxxxxxxxx
标题来完成。类似于403 Forbidden,但专门用于需要身份验证且失败或尚未提供时
401响应可能会返回响应消息,指示身份验证失败的方式和原因,即