据我了解,基于令牌的授权相对于基于cookie的好处是,基于令牌的是无状态的,它不会在服务器上保留任何内容,但通常是一个JWT,它在登录后发送给客户端然后将其附加到发回服务器的每个请求中。然后服务器检查令牌以确认它是一个授权请求。
我的问题是,JWT令牌未加密,可以对其进行解码和操作。如果JWT令牌包含类似
的内容 $this->crud->addFields([
[
'name' => 'field1',
'label' => 'field1 label',
'type' => 'field1',
],
[
'name' => 'field2',
'label' => 'field2 label',
'type' => 'field2',
]
]);
然后,用户将无法登录,解码JWT并处理内容,使用其处理过的JWT令牌更新本地存储,该令牌可能包含另一个用户的用户ID和角色,然后将其授予访问权限对其他用户敏感信息?
这可能吗?我的理解错了吗?我不理解,如果不将这些令牌存储在服务器中,就无法进行这种操作。