Где хранить информацию после аутентификации с помощью JWT

Shahin Soft спросил: 28 апреля 2018 в 08:33 в: authentication

Я новичок в материалах аутентификации. У меня есть приложение, которое после входа в систему отправляет учетные данные против сервера и сервера, генерирует токен JWT и отправляет его обратно клиенту (мобильному устройству).

Это мой вопрос: после имея доступный JWT, где я должен хранить свою информацию в запросах предстоящих? например, если я хочу отправить запрос POST, у меня есть два подхода:

  1. хранить необходимую информацию о запросе body
  2. после кодирования информации с использованием формата JSON в Base64, затем сохраните его на payload JWT

Возможно, я ошибаюсь, и это не решения. Я просто хотел узнать, какие лучшие (стандартные) подходы для этой работы?


2 ответа

Есть решение
gkrthk ответил: 28 апреля 2018 в 08:52

Знаки Jwt должны быть отправлены туда и обратно для каждого запроса и, как указано в комментариях, вы не можете их модифицировать.

Маркер может быть отправлен как токен-носитель в заголовке авторизации.

Authorization : Bearer <token>

Для параметров запроса для ваших запросов API, которые вы делаете, вы можете отправить их как часть тела запроса для сообщения.

И на дополнительная заметка, ваши запросы по-прежнему будут уязвимы для CSRF. Вы можете использовать csrf для любых библиотек для создания токена csrf. Это обеспечит лучшие аспекты безопасности вашего приложения.

Shahin Soft ответил: 28 апреля 2018 в 08:55
Спасибо! Есть ли необходимость отправить токен в формате, который вы упомянули выше? Я имею в виду, можем ли мы отправить его именно так: Авторизация: < token > (без носителя)
gkrthk ответил: 28 апреля 2018 в 09:02
Это стандарт, предложенный jwt. Носитель - это тип схемы для токенов авторизации / аутентификации. Я предлагаю следовать тому, который указан в ответе. Подробнее см. Ниже: google.co.in/url ? са = т & амп; источник = Web & амп; RCT = J & амп; URL = https:// ...
Thom ответил: 28 апреля 2018 в 08:59

Маркер JWT должен быть отправлен как токен-носитель с каждым запросом, который клиент делает на сервер.

он обычно добавляется в заголовок авторизации с использованием схемы-носителя.

Authorization: Bearer <token>

Для более подробного объяснения токенов JWT см. https://jwt.io/introduction/