我是认证资料的新手。我有一个应用程序,登录后,发送凭据服务器和服务器生成JWT令牌,并将其发送回客户端(移动设备)。
这是我的问题:在JWT可用之后,我应该将我的信息存储在即将发布的请求中?例如,如果我想发送POST请求,我有两种方法:
body JSON中使用Base64格式对信息进行编码后,将其存储在payload JWT上
也许我错了,这些都不是解决方案。 我只是想知道这项工作的最佳(标准)方法是什么?
答案 0 :(得分:1)
Jwt令牌将针对每个请求来回发送,并且如评论中所述,您无法修改它们。
令牌可以作为授权标头中的承载令牌发送。
Authorization : Bearer <token>
对于您正在执行的API请求的请求参数,您可以将它们作为帖子的请求正文的一部分发送。
另外请注意,您的请求仍然容易受到CSRF的攻击。您可以使用csrf任何库来生成csrf令牌。这将为您的应用程序提供更好的安全性方面。
答案 1 :(得分:1)
JWT令牌应作为承载令牌发送,客户端向服务器发出每个请求。
它通常使用Bearer架构添加到Authorization标头中。
Authorization: Bearer <token>
有关JWT令牌的更详细说明,请参阅https://jwt.io/introduction/