我的问题是我在用户登录时实现了JWT令牌。还通过邮递员做了一些测试。当用户使用用户名和密码进行验证时获取令牌。现在我的 API 已完成,每当前端人员需要 API 调用时,他都必须传递 JWT 令牌。现在,此令牌在 AJAX API 调用中可见。有什么方法可以隐藏所有令牌,以便攻击者不会获得此令牌?
JWT 默认不安全。
首先,如果您想在您的网站中使用JWT,它必须在HTTPS上运行。
其次,如果您将其存储在cookie上,请使用cookie http only选项来防止JavaScript cookie
劫持您也可以在OAuth中使用JWT获得更多功能
javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium