为多个客户端呈现 html 个视图
Render html views for multiple clients
我正在编写一个 Node.js 服务器,它使用动态 HTML 页面响应 HTTP GET 请求,呈现 "on-the-fly" 根据客户端请求检索的一些数据。
为了识别每个客户端,我使用 session 令牌 (JWT) 并将其作为每个 GET 请求中的查询参数连同其他信息发送回服务器,即:
my.domain/api/service?token=blablabla&req=123
确实有效。我想知道发送 session 标记作为查询参数是否是一个好(且安全)的主意。
我会在 headers 中发送它,但在客户端页面上更难,因为现在我只是将 href 标记设置为上面的 url。
你推荐其他方式吗?
安全方面,你如何发送它并不重要,只要它不包含敏感信息(例如密码)因为它没有加密,它被编码并且令牌可以很容易地被解码。
即使有人(黑客、用户等)更改了令牌,服务器也会验证并注意到(如果您已正确设置验证)并且您可以拒绝访问页面、媒体、数据或您的用户请求的任何内容。
重要! 使用SSL!否则黑客可以从其所有者那里窃取令牌并自己使用,服务器只检查它是否有效并且没有改变,不是它来自哪里。阅读更多:man-in-the-middle attack
你怎么做,完全取决于你和你的项目,但是我会亲自 通过 header.
发送
我正在编写一个 Node.js 服务器,它使用动态 HTML 页面响应 HTTP GET 请求,呈现 "on-the-fly" 根据客户端请求检索的一些数据。
为了识别每个客户端,我使用 session 令牌 (JWT) 并将其作为每个 GET 请求中的查询参数连同其他信息发送回服务器,即:
my.domain/api/service?token=blablabla&req=123
确实有效。我想知道发送 session 标记作为查询参数是否是一个好(且安全)的主意。
我会在 headers 中发送它,但在客户端页面上更难,因为现在我只是将 href 标记设置为上面的 url。
你推荐其他方式吗?
安全方面,你如何发送它并不重要,只要它不包含敏感信息(例如密码)因为它没有加密,它被编码并且令牌可以很容易地被解码。
即使有人(黑客、用户等)更改了令牌,服务器也会验证并注意到(如果您已正确设置验证)并且您可以拒绝访问页面、媒体、数据或您的用户请求的任何内容。
重要! 使用SSL!否则黑客可以从其所有者那里窃取令牌并自己使用,服务器只检查它是否有效并且没有改变,不是它来自哪里。阅读更多:man-in-the-middle attack
你怎么做,完全取决于你和你的项目,但是我会亲自 通过 header.
发送