我想讨论一件事。
假设我有一个通过JWT验证的POST API,假设我希望在这个API中使用userId。在这里我可以想到两种方法
- 使用帖子正文发送userId
- 从JWT令牌本身提取
现在第二种方法对某些情况更有意义,如追随者跟随API
但我的主要问题是:
1. is going with the extraction from JWT token approach, a significant step toward increasing security?
2. Is there any cons to using this approach?
是的,您必须从jwt令牌中提取userid,如果您设置了处理令牌的req.userDetails,您将从中获得req.userDetails.userid作为示例