使用 JWT 声明与在纯文本 cookie 中存储有关用户的数据
Using JWT claims vs. storing data about user in a plain text cookie
一旦用户仅使用 cookie(用户 ID、名称、角色...)登录,我们的内联网系统就会存储用户数据
我今天学习了 JWT 和令牌,想知道与当前方式相比使用它有什么优势吗?
似乎在 cookie 中存储纯文本可能不安全,但我还了解到其他网站无法看到这些 cookie。
那么有充分的理由改用 JWT 令牌吗?
cookie 不能被创建它的域访问。此限制称为 "same-origin" 策略,是一种保护站点本地数据的安全措施,但并不意味着您的 cookie 可以方便地得到保护
由于您没有在服务器端验证 cookie 内容,例如,用户可以更改其 UserId 或 Role 以访问未经授权的资源。
JWT 可以帮助您,因为内容是用密钥签名的。对内容的任何更改都将破坏数字签名,服务器将拒绝该令牌。
另一种方法是使用服务器会话并将此数据存储在服务器上。
JWT 的缺点是它需要服务器存储。
一旦用户仅使用 cookie(用户 ID、名称、角色...)登录,我们的内联网系统就会存储用户数据
我今天学习了 JWT 和令牌,想知道与当前方式相比使用它有什么优势吗?
似乎在 cookie 中存储纯文本可能不安全,但我还了解到其他网站无法看到这些 cookie。
那么有充分的理由改用 JWT 令牌吗?
cookie 不能被创建它的域访问。此限制称为 "same-origin" 策略,是一种保护站点本地数据的安全措施,但并不意味着您的 cookie 可以方便地得到保护
由于您没有在服务器端验证 cookie 内容,例如,用户可以更改其 UserId 或 Role 以访问未经授权的资源。
JWT 可以帮助您,因为内容是用密钥签名的。对内容的任何更改都将破坏数字签名,服务器将拒绝该令牌。
另一种方法是使用服务器会话并将此数据存储在服务器上。 JWT 的缺点是它需要服务器存储。