我正在运行一个安全设置,并且在登录时,用户获得了所产生的令牌,该令牌将用于以后的每个呼叫。如果他们篡改了有效载荷,签名将吠叫,因此系统也将因此受到保护。
但是,我相信有些恶意用户比我更聪明,并且为了使他们的挑战更有趣,我想限制公开的信息量。我不想在内部提出要求,而是只将GUID公开为影子令牌(我认为这是令牌的正确术语,而实际上是指向实际令牌的指针,将其隐藏)。
一个选择是开发自定义验证器,并在数据库中引入实际令牌的存储,以使用隐蔽符进行查找。这是相当多的工作,并且由于该过程是良好的实践,所以我希望可以在框架中使用对该功能的简化。
遗憾的是,在谷歌搜索时我没有发现任何有关此的信息。我将需要一个或两个指针来查找有关它的信息(或确认它不存在)。由于这是一个深刻而复杂的问题,可能是我的无知使我无法找到正确的搜索字词。