程序员经验分享-hwhale

以纯文本形式将用户 ID 发送到前端是否安全?

2024-01-19

我有一个带有 MongoDB 的 Express 应用程序。它为每个用户文档创建一个用户 ID。该用户 ID 也以 jwt 进行编码,这给新开发人员造成了一种错觉,即用户 ID 不能以纯文本形式发送到前端。

有人可以解释一下将用户 ID 发送到前端会如何产生安全问题吗?据我所知,如果没有我的秘密字符串,黑客无法用它创建 jwt。我的 Express 应用程序都不会在后端的任何位置侦听此用户 ID。但它对于前端至关重要,因为它被用作卖家 ID。


我不认为这有安全风险,只是更容易管理在对服务器进行编码时。如果您已经通过 JWT 处理登录身份验证,并且客户端代码没有理由关心用户 ID,但服务器确实需要知道它,那么您也可以将所有内容嵌入到 JWT 中具有both用于身份验证信息的 JWT并分别管理通过其他方法传达用户 ID。

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

javascript

MongoDB

Express

security

JWT

以纯文本形式将用户 ID 发送到前端是否安全? 的相关文章

随机推荐

  • 如何在 Scala 中获取 Ponter/Reference 语义

    在 C 中 我只需要一个指向 arr idx 的指针 或引用 在 Scala 中 我发现自己创建这个类来模拟指针语义 class SetTo val arr Array Double val idx Int def apply d Doub

  • git 过滤器不是“取消修改”文件

    我正在使用一个 IDE 它在一些已生成但强烈需要的库文件中生成一个版本 因此 如果我想使用具有多个版本的库 或者我看到大量实际上毫无意义的更改 就会出现问题 Summary 我想忽略一个single一个或多个文件的行 我认为 git 的过滤

  • 如何制作用于api调用的通用改造库

    我正在研究 API 集成 我想为 API 集成创建通用类 它可以适应所有 API 集成 现在我对所有 API 使用单独的代码 我是 Android 应用程序开发的新手 所以请指导我 public void getHomeCategoryDe

  • C++ 类型“char*”和“const char [2]”到二进制“operator+”的无效操作数

    当尝试执行以下简单代码时 编译器返回错误 类型 char 和 const char 2 到二进制 operator 的无效操作数 BodyText client PS3 ReadString 0x0178646c n 这是我的 ReadSt

  • 为什么我在 matplotlib 中的绘图不显示轴

    我的绘图遇到了麻烦 因为当我处理它时 轴标签似乎显示在 Jupyter Notebooks 中 但是 当我将文件导出到 py 文件并在终端中运行它时 给出的图表没有轴标签 fig plt figure figsize 15 5 ax fig

  • Kotlin 类转换异常

    我是 Android 开发新手 我在教程中看到了这段代码 class MainActivity AppCompatActivity private val newNumber by lazy LazyThreadSafetyMode NON

  • BCP 导入错误“强制转换规范的字符值无效”

    全部 我使用 BCP 进行导入导出 并在尝试导入回来时仅 1 导出的第一行 行出现 强制转换规范的字符值无效 错误 表结构 Col1 数字 19 0 第 2 列 NVARCHAR 400 Col3 NVARCHAR 400 我正在使用以下命

  • 在动画中切换位置属性上的 CABasicAnimation 会导致闪烁

    我有一些代码使用 CALayers 使气泡从下到上流动 如果用户触摸屏幕 我会编写一些代码 将当前正在运行的动画替换为具有手指触摸的 toPoint 的动画 当动画切换时 它会导致设备上 而不是模拟器上 闪烁 任何有关消除闪烁的提示将不胜感

  • 获取html文件的最后修改日期

    在导入到我的网络应用程序中时 如何找出 html 文件的最后修改日期 html 文件位于另一台服务器上 不同的用户可以进行更新 当我检索页面时 我希望能够看到它的上次更新时间 以便我可以在主页上标记更新日期 我 我假设您正在使用 HTTP

  • “定义”数组元素的计数

    给定以下数组 var arr undefined undefined 2 5 undefined undefined 我想得到元素的数量are定义 即 那些是not undefined 除了循环遍历数组之外 还有什么好的方法吗 在最近的浏览

  • 为 Mac 版 docker 指定 IP 地址

    我在用着Mac 版 Docker 测试版它远离聚光灯 有什么方法可以从控制台运行它或强制使用任何配置文件来指定 docker 主机的 IP 地址 现在它从 192 168 64 3 更改为 192 168 64 5 每次启动 docker

  • 模型视图控制器设计模式代码示例

    我正在研究模型 视图 控制器设计模式 并且从理论上理解了该模式背后的概念 但我想了解一下人们如何实际将其付诸实践 维基百科提到了 Wt Web 工具包 CppCMS 和其他一些使用该模式的标准实现 但是我对这些并不熟悉 我只是希望和 如果有

  • 非交换的 symify(或简化)

    我希望能够简化 Python 中字符串的数学表达式 有几种 可交换 的方法可以做到这一点 是否有一个不可交换的函数 我知道sympify from sympy可以做一些非交换工作 这里有一个例子 from sympy import x Sy

  • 如何从magento中的愿望清单集合中删除项目

    在 Magento 中 我想删除或删除当前登录用户的愿望清单项目 目前 我通过启用复选框来选择愿望清单项目 然后使用 Mage getModel wishlist item gt load id gt delete 删除它们 我使用的代码片

  • 带类型参数的 PetaPoco 查询

    使用 PetaPoco 如何调用带有类型参数的存储过程 在 C 中我这样做 cmd Parameters Add email SqlDbType NVarChar Value email 查看文档 http www toptensoftwa

  • 有什么理由不使用 OrderedDict 吗?

    我指的是有序字典 http docs python org 2 library collections html collections OrderedDict来自collections模块 这是一个有序字典 如果它具有可订购的附加功能 我

  • 在 ag-grid 中显示嵌套 json

    我正在使用 Angular Grid ag grid 来显示数据 我正在尝试在我的角度网格中显示嵌套的 json 数据 但我没有成功 下面是示例 json 数据和 colDefs 请建议为什么点运算符不像 jqgrid 那样工作 无法使用嵌

  • 如何为 JTable 列添加 JXDatepicker

    我正在使用 JTable 我有一个日期列 当我单击一个单元格时 我需要在其中显示一个 JXDatePicker 以便我可以从中选择一个日期 有人可以告诉我该怎么做吗 谢谢 等待一个答复 你可能应该使用DatePickerCellEditor

  • 使用弧线和动态属性覆盖设置器

    我需要在 setter 方法中做一些额外的事情 但这样做时我遇到了无限循环 我有一个核心数据对象 interface Transaction NSManagedObject property nonatomic retain NSDate

  • 以纯文本形式将用户 ID 发送到前端是否安全?

    我有一个带有 MongoDB 的 Express 应用程序 它为每个用户文档创建一个用户 ID 该用户 ID 也以 jwt 进行编码 这给新开发人员造成了一种错觉 即用户 ID 不能以纯文本形式发送到前端 有人可以解释一下将用户 ID 发送

热门标签