使用ajax提交表单时,我需要一些有关如何保护JWT令牌的观点,这就是它在Google chrome inspect元素上的外观 inspect element on chrome browser 令牌可见,未知用户可以将一些数据发布到其端点,以确保JWT令牌安全吗?感谢任何意见! 使用HTTPS解决此问题?
答案 0 :(得分:0)
通常的用户使用用户名/密码(或其他密码)登录,如果登录成功,则服务器将返回jwt令牌,该令牌可用于其他请求。 因此,jwt应该已经安全了(除非未经身份验证的用户可以进入私有区域,但是您还有其他问题要解决)。 如果您不希望jwt在您的js代码中可见,则可以将令牌存储在服务器会话中,然后进行ajax调用以伪代码检索令牌:
$.ajax({
type: "POST",
url: "/myscript.php",
data: {action : "GetToken"},
dataType: "json",
success: function(token){
// now you can do whatever you want with the token, if any.
},
error: function(){
}
}
.php
<php
if isset($_POST["action"] && $_POST["action"] == "GetToken"){
echo $_SESSION["userToken"];
}
?>
很明显,创建令牌时必须将其保存在$_SESSION中。