我用jwt身份验证创建了一个应用程序,流程非常简单,就像我向服务器提供用户ID和密码,如果经过身份验证,那么它为我提供jwt和i存储jwt令牌到会话存储,并允许用户登录,然后在每个请求我创建了一个带有axios的拦截器,它从会话存储中发送令牌,并且everthing工作正常。
但我很困惑,当用户登录jwt时,会从sessionstorage中看到,所以它是存储jwt的任何安全方式,无法看到,以及在当前工作流程中采取的任何安全措施以保护应用程序
用户能够看到JWT没有问题。这是因为,让我们假设您是用户,并且能够看到JWT,就像能够知道密码一样。如果,第三个人知道JWT是唯一可能出现问题的时间。
可以存储JWT的地方,或者主要是sessionstorage或localstorage或cookies,每个地方都有其自身的优点和缺点。在所有方法中,用户都可以看到JWT。
阅读this article的第二部分,关于storage和cookies的保存之间的区别,以及如何确保每种方法的JWT。