该Web应用程序已经实现了JWT和HTTPS,问题是从服务器(节点js)发送到已签名令牌用户的json响应在客户端(反应js)浏览器开发工具中可见。有什么办法可以使用加密模块来防止使用浏览器开发工具轻松查看敏感的json API响应? 注意:我已经尝试过混淆技术,但是没有被说服。
答案 0 :(得分:2)
如果应用程序的安全性依赖于客户端以特定方式运行(例如,不直接向用户显示API响应),那么根据定义,您的应用程序是不安全的。
无论与谁进行通讯(您与第三方编写的软件),您的API都应该是安全的。
您需要提出的事实表明您的应用程序的基本部分设计不良。
问自己为什么需要向用户隐藏此信息,并解决那个问题。