我正在尝试使用由spring boot api支持的react-native来构建移动应用程序,并且为了实现身份验证和授权,我研究并发现JWT是一种方法。
例如https://medium.com/@maison.moa/using-jwt-json-web-tokens-to-authorize-users-and-protect-api-routes-3e04a1453c3e
的实现方式很多。
我有几个问题:
- 大多数时候,您必须将JWT令牌存储在本地移动缓存中,才能在后续请求中使用它。按原样存储JWT令牌有多安全。
- 通常,您的创建用户不受JWT保护,因为如果不创建用户,您将无法生成任何令牌。因此,这实际上意味着您已经利用了用户创建的内容,从而使黑客可以创建任何任意用户并生成令牌,并可以访问系统来避免这种情况。
- 如何仅基于登录用户限制令牌角色。我们可以绑定移动设备ID来生成JWT令牌吗?