之前用的是cookie和session來做的登錄注冊,現在前后端分離了,瀏覽器不支持第三方cookie了,于是用了JWT,而后端也不愿用session了,那么用戶資訊要保存到token的payload里嗎?
uj5u.com熱心網友回復:
不建議這么做,首先,用戶資訊寫入token,token資訊不保密,則token一旦被產生泄露,會產生安全風險。雖然可以加密,但是由于客戶端是js,對黑客是可見的
還有,就是要評估你寫入的用戶資訊是什么?暴漏給黑客會產生哪些風險
uj5u.com熱心網友回復:
又研究了一下jwt,我認為不適合你的跨域用戶管理場景http://codegrids.com/articles/2018/12/25/jwt-ap-exc/
uj5u.com熱心網友回復:
如果是不保存用戶資訊的話,那我后端需要獲取到用戶資訊應該怎么做呢,查詢資料庫?如果保存用戶資訊的話,打算就保存用戶id,name,不會保存password或其他敏感資訊
uj5u.com熱心網友回復:
那敢問大佬,有沒有什么好的建議做用戶管理
uj5u.com熱心網友回復:
如果是不保存用戶資訊的話,那我后端需要獲取到用戶資訊應該怎么做呢,查詢資料庫?
如果保存用戶資訊的話,打算就保存用戶id,name,不會保存password或其他敏感資訊
uj5u.com熱心網友回復:
所以你對token進行加密啊
uj5u.com熱心網友回復:
跨域資源共享(CORS)
uj5u.com熱心網友回復:
可以存用戶資訊比如aws的cognito,如果用alb做自動驗證,token不光有用戶資訊,還有group資訊。當然,敏感資訊是不保存到token的。
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/159542.html
標籤:Web 開發