一旦用户使用cookie(UserID,Name,Role ..)登录,我们的Intranet系统就会存储用户数据
我今天正在学习JWT和令牌,并想知道在目前的方式上使用它有什么好处吗?
似乎有些东西可能会在cookie中存储纯文本,但我也读到其他网站无法看到这些Cookie ..
那么有没有强有力的理由使用JWT代币呢?
答案 0 :(得分:2)
Cookie不能由创建它的其他域加入。这种限制被称为"同源"策略并且是保护网站本地数据的安全措施,但这并不意味着您的cookie方便安全
由于您未验证服务器端的cookie内容,例如,用户可以更改其UserId或Role以访问未经授权的资源。
JWT可以帮助您,因为thencontent是使用密钥签名的。对内容的任何更改都将破坏数字签名,服务器将拒绝令牌。
另一种方法是使用服务器会话并将此数据存储在服务器上。 JWT的缺点是需要服务器存储。