使用 JWT 保护 API
secured API with a JWT
我目前正在学习 JWT 是如何工作的,并且正在制作 API。
我制作了一个中间件函数,因此对于安全路由的每次调用,都会调用中间件并分析 accessToken。
我在字段授权中的 HTTP 请求的 header 中传递了令牌,但这是我的问题:
是否有人可以查看 HTTP 请求的 header 中的访问令牌?因为如果是这样的话,这真的不安全吗?任何人都可以查看他朋友的 accessToken 并使用 ?
发出 api 请求
我已经做了一个刷新函数来在它过期时获取一个新的访问令牌,但是我的 /refreshroute 没有中间件,因为当我们调用刷新路由时 accessToken 已经过期了。所以 /refreshroute 也不安全,它 returns 一个新的 accessToken ....
请帮助我,我真的很想了解它是如何工作的...
这取决于您发送请求所使用的连接类型:
- 如果请求是使用 SSL 加密(即 HTTPS)发送的,那么您可能不必担心任何人查看 headers,因为强加密不会让任何其他人查看根据请求,除了收件人(服务器)。
- 但是,如果没有 SSL 加密,则发送到服务器的有效负载会暴露并开放以供窥探,并且容易受到 MITM 攻击。
我目前正在学习 JWT 是如何工作的,并且正在制作 API。 我制作了一个中间件函数,因此对于安全路由的每次调用,都会调用中间件并分析 accessToken。 我在字段授权中的 HTTP 请求的 header 中传递了令牌,但这是我的问题:
是否有人可以查看 HTTP 请求的 header 中的访问令牌?因为如果是这样的话,这真的不安全吗?任何人都可以查看他朋友的 accessToken 并使用 ?
发出 api 请求我已经做了一个刷新函数来在它过期时获取一个新的访问令牌,但是我的 /refreshroute 没有中间件,因为当我们调用刷新路由时 accessToken 已经过期了。所以 /refreshroute 也不安全,它 returns 一个新的 accessToken ....
请帮助我,我真的很想了解它是如何工作的...
这取决于您发送请求所使用的连接类型:
- 如果请求是使用 SSL 加密(即 HTTPS)发送的,那么您可能不必担心任何人查看 headers,因为强加密不会让任何其他人查看根据请求,除了收件人(服务器)。
- 但是,如果没有 SSL 加密,则发送到服务器的有效负载会暴露并开放以供窥探,并且容易受到 MITM 攻击。