成像,我有一个名为 CoolApp 的网络应用程序,它通过 JWT 访问+刷新令牌访问其服务器。是什么阻止用户获取这些令牌,然后创建自己的 CustomCoolApp?
例如,是什么阻止我为 Reddit 创建完全自定义的应用程序、向
/login仅当令牌提供者是向所有人开放的公共端点时,用户才能获取 jwt 令牌。如果您可以控制提供 jwt 令牌的端点,则可以设置基本的 CORS 策略,以便只有您的应用程序才会受到限制并可供端点访问。 这是 CORS 设置的示例 https://blog.logrocket.com/using-cors-next-js-handle-cross-origin-requests/