'Optional' 请求中的 JWT?
'Optional' JWTs in a request?
第一次学习 JWT...
我有一个 NodeJS/Express/Angular 2 应用程序集成了 Auth0 Facebook 登录。
我目前将用户个人资料详细信息存储在 localStorage 中,并且知道可以通过开发控制台对其进行编辑。
我希望用户能够进行某些 post,无论他们是否登录(并在 时将他们的用户帐户与数据库中的结果实体相关联已 登录)。但是,我想确认他们没有以任何方式更改 localStorage 对象,可能是为了冒充其他用户等。
是否有一条路由能够处理此问题,或者我应该将其分成两条单独的路由以进行身份验证 users/guests 并从 JWT 检查中排除访客一条?
也感谢有关此主题的任何一般性建议
你应该有两种类型的路线。一种是经过身份验证后可以访问的,另一种是不需要任何形式的身份验证的。这几乎是您应该做的唯一方法。
除此之外,您可以在localStorage 中保留任何您想要的内容。 JWT 使用秘密(使用 HMAC 算法)或使用 RSA 的 public/private 密钥对进行签名。如果一个从 localStorage 复制它并发送到另一个,那不是你的问题。
第一次学习 JWT...
我有一个 NodeJS/Express/Angular 2 应用程序集成了 Auth0 Facebook 登录。
我目前将用户个人资料详细信息存储在 localStorage 中,并且知道可以通过开发控制台对其进行编辑。
我希望用户能够进行某些 post,无论他们是否登录(并在 时将他们的用户帐户与数据库中的结果实体相关联已 登录)。但是,我想确认他们没有以任何方式更改 localStorage 对象,可能是为了冒充其他用户等。
是否有一条路由能够处理此问题,或者我应该将其分成两条单独的路由以进行身份验证 users/guests 并从 JWT 检查中排除访客一条?
也感谢有关此主题的任何一般性建议
你应该有两种类型的路线。一种是经过身份验证后可以访问的,另一种是不需要任何形式的身份验证的。这几乎是您应该做的唯一方法。
除此之外,您可以在localStorage 中保留任何您想要的内容。 JWT 使用秘密(使用 HMAC 算法)或使用 RSA 的 public/private 密钥对进行签名。如果一个从 localStorage 复制它并发送到另一个,那不是你的问题。