假设有一个服务器,我们可以向其发送(发布)用户信息。因为我们不希望任何人能够将这些信息发送到服务器,所以我们使用令牌验证(如JWT)。这是对的吗 ? (解释为什么它是正确的)如果它没有解决方案是什么? (别忘了没有注册或登录)
答案 0 :(得分:1)
因为我们不希望任何人能够将这些信息发送到服务器,所以我们使用令牌验证
最后一部分应该是:"我们使用身份验证/授权"。您使用什么样的身份验证/授权,即实现细节。
使用JWT是一种身份验证形式。这是一种正确的方法。您可以使用任何其他类型的身份验证方法(例如标签中的OAuth)或用户名/密码。
哪种情况适合您的情况? - 这取决于你的情况。 JWT的关键点是:
由于JWT是自包含的,所有必要的信息都在那里,减少了多次查询数据库的需要。 (Source)
实际上没有任何身份验证。因为我无法用其他任何东西来比较它。在我的游戏结束时,玩家可以发送他/她的姓名和电话号码等信息。 (玩家天堂之前已经注册并赢得了比赛)。
这是经典的高分问题。您的代码在不受信任的环境中运行,但高分表只应允许有效的输入。如果您希望只有来自游戏的有效请求才能进入服务器/数据库,则必须应用多层保护。
您可以添加例如散列或参数加密。这是一篇文章:https://gist.github.com/judeibe/871157
关于JWT的使用:如果你在很多游戏实例中共享一个令牌,那么使用长随机字符串没有额外的好处。