我来自传统的HTML,frontend JS,css背景,因此我对从前端进行令牌身份验证感到有些怀疑。
因此,当用户登录时,将从后端生成JWT并将其发送到客户端。从那时起,我会将其存储在localStorage或sessionStorage中,以便在前端'进行身份验证。每次用户尝试访问私有路由时。来自传统的“始终客户端到服务器通信”#39;我想知道这种方法是否非常安全。 (虽然我知道JWT的解码完全是相同的过程,无论它发生在后端还是前端)。那么在前端路由而不是在后端路由时,我应该考虑更多的安全漏洞吗?
编辑**
另外,如果我在前端解码,我的秘密是不会暴露给所有人的?
答案 0 :(得分:0)
这种方法是安全的,秘密不会暴露给所有人。后端应用程序通常读取主uid和access_token。
至关重要的是,将TLS / SSL与JWT结合使用,以防止中间人攻击。在大多数情况下,如果它包含敏感信息,则足以加密JWT有效负载。但是,如果我们想添加额外的保护层,则可以使用JSON Web加密(JWE)规范对JWT有效负载本身进行加密。
当然,如果我们想避免使用JWE的额外开销,另一种选择是简单地将敏感信息保留在我们的数据库中,并在需要访问敏感数据时将令牌用于对服务器的其他API调用。 / p>