我有一个带有 MongoDB 的 Express 应用程序。它为每个用户文档创建一个用户 ID。该用户 ID 也以 jwt 进行编码,这给新开发人员造成了一种错觉,即用户 ID 不能以纯文本形式发送到前端。
有人可以解释一下将用户 ID 发送到前端会如何产生安全问题吗?据我所知,如果没有我的秘密字符串,黑客无法用它创建 jwt。我的 Express 应用程序都不会在后端的任何位置侦听此用户 ID。但它对于前端至关重要,因为它被用作卖家 ID。
我不认为这有安全风险,只是更容易管理在对服务器进行编码时。如果您已经通过 JWT 处理登录身份验证,并且客户端代码没有理由关心用户 ID,但服务器确实需要知道它,那么您也可以将所有内容嵌入到 JWT 中具有both用于身份验证信息的 JWT并分别管理通过其他方法传达用户 ID。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)