我对以下条件有疑问?
(React和Rails单独应用(
我正在使用密钥"将JWT保存到本地存储器中;令牌";其从rails服务器发送。我只通过JWT在特定请求中找到用户。如果用户更改了本地存储中的JWT,该怎么办。我该如何处理这个案子?如果我在每个请求中都检查登录是否有效,我的服务器会死吗?
有什么解决方案吗?
提前感谢。
JWT在获得时已经进行了非对称加密,因此用户在没有访问签名密钥的情况下将无法生成合法的JWT。然而,客户端仍然能够解码JWT并对其进行内省。
最佳做法是在服务器端使用额外级别的对称加密,使用AES之类的算法。这意味着JWT在提供给用户时是加密的,并且只在服务器端解密。
这提供了对篡改攻击的深度防御,因为秘密JWT密钥和应用程序的密钥都是伪造密钥所必需的。对称加密JWT还可以保护您存储在其中的信息不受客户端的影响。