我正在使用angular5和jwt开发'write comment'。
当用户写入评论时,它会将评论内容与 jwt 令牌一起发送到服务器。
在这种情况下,服务器是否应该在 jwt 令牌中处理作者信息?
还是我应该一起传递用户名?
我想知道是否有任何通用的开发方法或参考。
我想问你是否认为作者信息是敏感信息,如密码,如果没有,请参考以下答案:
如果您的 JWT 令牌已经包含作者信息,则无需发送用户名,因为发送的 JWT 已经包含它,您可以从 JWT 有效负载中验证并获取它,如果它不包含作者信息在 JWT 中,我建议您将其添加到 JWT 有效负载中, 由于每次用户添加评论时都需要发送用户名,因此单独发送是没有意义的,因此始终建议在使用JWT时使用HTTPS连接。
还要始终在服务器密钥的帮助下验证服务器端的 JWT 的真实性,例如,您可以使用 Spring 过滤器拦截所有经过身份验证的请求并检查 JWT 令牌的真实性。
另外,我要求您参考以下链接:
https://jwt.io/introduction/
https://stormpath.com/blog/jwt-the-right-way