以纯文本形式将用户 ID 发送到前端是否安全?
Is it safe to send user id to front end in plain text?
我有一个 MongoDB 的快捷应用程序。它为每个用户文档创建一个用户 ID。这个用户 ID 也用 jwt 编码,这给新开发者造成了用户 ID 不能以纯文本形式发送到前端的错觉。
谁能解释一下将用户 ID 发送到前端会造成安全问题吗?据我所知,如果没有我的秘密字符串,黑客就无法用它创建 jwt。我的 Express 应用程序都不会在后端的任何地方侦听此用户 ID。但它对前端至关重要,因为它被用作卖家 ID。
我不认为这是安全风险,只是在对服务器进行编码时更易于管理。如果您已经通过 JWT 处理登录身份验证,并且客户端代码没有理由关心用户 ID,但服务器确实需要知道它,那么您不妨将所有内容嵌入 JWT,而不是同时 用于身份验证信息的 JWT 并单独 通过其他方法管理用户 ID 的通信。
我有一个 MongoDB 的快捷应用程序。它为每个用户文档创建一个用户 ID。这个用户 ID 也用 jwt 编码,这给新开发者造成了用户 ID 不能以纯文本形式发送到前端的错觉。
谁能解释一下将用户 ID 发送到前端会造成安全问题吗?据我所知,如果没有我的秘密字符串,黑客就无法用它创建 jwt。我的 Express 应用程序都不会在后端的任何地方侦听此用户 ID。但它对前端至关重要,因为它被用作卖家 ID。
我不认为这是安全风险,只是在对服务器进行编码时更易于管理。如果您已经通过 JWT 处理登录身份验证,并且客户端代码没有理由关心用户 ID,但服务器确实需要知道它,那么您不妨将所有内容嵌入 JWT,而不是同时 用于身份验证信息的 JWT 并单独 通过其他方法管理用户 ID 的通信。