标签: jwt
我知道它已经被广泛讨论了,但是我不能总结我读到的东西。
将JWT放在不编码的HTTP标头中是否正确?仅被登录。因此,通行的做法是令牌数据(声明)是开放的,只有签名才能检查JWT是否可靠。从保密细节的角度来看,人们依赖HTTS。
正确吗?