我创建了一个带有jwt身份验证的应用程序,流程非常简单,就像我向服务器提供用户ID和密码,如果经过身份验证,那么它为我提供jwt和i将jwt令牌存储到会话存储,并允许用户登录,以及然后在每次请求时我都创建了一个带有axios的拦截器,这些拦截器从会话存储器发送令牌,并且everthing工作正常。
但我感到困惑的是,当用户登录jwt时,会从sessionstorage中看到,所以它是存储jwt的任何安全方式,无法看到,以及在当前工作流程中采取的任何安全措施以保护应用程序
答案 0 :(得分:0)
用户能够看到JWT没有问题。这是因为,让我们假设您是用户,并且能够看到JWT,就像能够知道密码一样。如果,第三个人知道JWT是唯一可能出现问题的时间。
可以存储JWT的地方,或者主要是sessionstorage或localstorage或cookies,每个地方都有自己的优势和劣势。在所有方法中,用户都可以看到JWT。
阅读this article的第二部分,了解保存在storage和cookies之间的区别,以及如何在每种方法上保护JWT。