我们正在内部讨论使用 2 个 JWT 令牌来封闭我们的节点服务器路由的利弊。一个令牌是短期的,基于密码认证,而第二个令牌是在移动文本代码验证成功后发出的。
将这两者放在授权标头中,然后在节点服务器上分别分离和验证每一个似乎是保持锁定状态的好方法。一个 JWT 令牌可以通过前端本地存储,而另一个可以存储在 cookie 中,提供每种存储方法的安全优势。
这一切似乎都是锁定事物的好方法……但这是否好得令人难以置信?
谁能想到使用两种独立的 JWT 令牌和中间件节点路由安全的两种形式的身份验证可能会产生特殊的安全漏洞?