我的问题是我在用户登录时实施了JWT令牌。也通过POSTMAN做了一些测试。用户使用用户名和密码验证时获取令牌。现在我的API已经完成,每当Front-end Guy需要API调用时,他必须传递JWT令牌。现在,此令牌在AJAX API调用中可见。有什么方法可以隐藏所有令牌,以便攻击者不会获得此令牌吗?
答案 0 :(得分:0)
默认情况下,jwt不受保护。
首先,如果你想在你的网站上使用jwt,它必须在https上工作。
第二,如果你将它存储在cookie上使用cookie http only选项来防止javascript cookie劫持
您也可以在OAuth中使用jwt获取更多功能