我是web开发和安全方面的新手。我正在开发一种类似社交媒体的东西。我需要知道JWT令牌中存储了什么。我认为这将是很好的存储用户id(主键从数据库)。这样我就可以从令牌中查找有关用户的所有内容,例如全名,唯一用户名,个人资料照片和帖子。
因为JWT很容易解码,它不会是不安全的保存用户id?窃取令牌的人可以使用id在我的数据库中运行一些SQL吗?是否最好保存已经公开的用户信息,如唯一用户名?
这是一个关于JWT和安全性的深刻主题。有许多不同的方法可以存储JWT,例如在本地存储、会话存储和Cookie中。每种方法都有优点和缺点,请记住,没有100%安全的方法来存储jwt。您应该在JWT中存储用户id和NEVER敏感信息。您可以通过研究每种存储jwt的方法来了解更多信息。
javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium