我正在使用 jwt
和 NodeJS 作为我的身份验证 token 。目前,我将受众、IP 和客户端签名到有效负载上。
我还将用户的guid
放在有效负载上,以便在后续请求中,我可以使用guid
找到用户; guid
的示例为 bd262477-8b93-4f2c-9dc9-175edf6e0d14
。
这是不好的还是安全问题?我想我要问的是你应该在有效负载上放置什么信息? guid
是好是坏?
有人可以向我提供一个链接,解释为什么(或为什么不)您在 token 上包含的内容存在安全问题吗?
最佳答案
应该对整个 token 进行签名,以保护 token 正文中的所有声明。
关于可以安全地放入 token 中的内容:这取决于 token “静态”存储的位置。但一般来说,您不应该在 token 中放入敏感信息,除非您还要对 token 进行加密(加密是除了签名之外的第二步)
我在 Stormpath 工作我们有几篇关于该主题的文章:
Where to Store Your JWTs - Cookies vs HTML5 Web Storage
Token Based Authentication for Single Page Apps (SPAs)
希望这有帮助!
关于node.js - 在身份验证 token 上签名需要哪些信息,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29244955/