我有一个带有 MongoDB 的 Express 应用程序。它为每个用户文档创建一个用户 ID。该用户 ID 也以 jwt 进行编码,这给新开发人员造成了一种错觉,即用户 ID 不能以纯文本形式发送到前端。
有人可以解释一下将用户 ID 发送到前端会如何产生安全问题吗?据我所知,如果没有我的 secret 字符串,黑客无法用它创建 jwt。我的 Express 应用程序都不会在后端的任何位置监听此用户 ID。但它对于前端至关重要,因为它被用作卖家 ID。
最佳答案
我不认为这存在安全风险,只是在对服务器进行编码时更容易管理。如果您已经通过 JWT 处理登录身份验证,并且客户端代码没有理由关心用户 ID,但服务器确实需要知道它,那么您也可以将所有内容嵌入到 JWT 中同时使用 JWT 来获取身份验证信息并分别通过某种其他方法管理用户 ID 的通信。
关于javascript - 以纯文本形式将用户 ID 发送到前端是否安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/67321260/