=====================================================================
瀏覽器會有WEB API 跨域請求
傳統作法
1.btn_1登入後,取得帳號
2.btn_2 在前端驗證帳號
3.如果有帳號,將帳號傳送出去
4.取得該帳號個資
有風險
1.直接在前端避掉驗證帳號
2.可以在前端將帳號變更(明碼)
3.可以直接取得帳號個資
jwt
1.在後端做驗證帳號
2.btn_1登入後,將帳號比對後,做jwt加密,回傳token
3.btn_2 將token加入headers回傳,申請取得資料
4.在後端將token解密比對帳號,如果帳號ok
5.將帳號個資回傳
如果將token用工具解密,在Payload內容變更帳號,然後直接線上產生一組新的token。
將token回傳,申請取得資料,會無法解密。
(因為必須透過jwt開始時透過key加密方法產生的token才有辦法解密時,透過key來解密)。
沒有留言:
張貼留言