安全性如何与基于令牌的授权一起使用?

时间:2019-05-04 23:29:23

标签: authentication cookies jwt token access-token

据我了解,基于令牌的授权相对于基于cookie的好处是,基于令牌的是无状态的,它不会在服务器上保留任何内容,但通常是一个JWT,它在登录后发送给客户端然后将其附加到发回服务器的每个请求中。然后服务器检查令牌以确认它是一个授权请求。

我的问题是,JWT令牌未加密,可以对其进行解码和操作。如果JWT令牌包含类似

的内容
 $this->crud->addFields([
        [
            'name' => 'field1', 
            'label' => 'field1 label',
            'type'  => 'field1',
        ],
        [
            'name' => 'field2', 
            'label' => 'field2 label',
            'type'  => 'field2',
        ]
    ]);

然后,用户将无法登录,解码JWT并处理内容,使用其处理过的JWT令牌更新本地存储,该令牌可能包含另一个用户的用户ID和角色,然后将其授予访问权限对其他用户敏感信息?

这可能吗?我的理解错了吗?我不理解,如果不将这些令牌存储在服务器中,就无法进行这种操作。

0 个答案:

没有答案