2020年10月20日 星期二

webapi jwt 實作

 

=====================================================================

瀏覽器會有WEB API 跨域請求


傳統作法

1.btn_1登入後,取得帳號

2.btn_2 在前端驗證帳號

3.如果有帳號,將帳號傳送出去

4.取得該帳號個資


有風險

1.直接在前端避掉驗證帳號

2.可以在前端將帳號變更(明碼)

3.可以直接取得帳號個資


jwt

1.在後端做驗證帳號

2.btn_1登入後,將帳號比對後,做jwt加密,回傳token

3.btn_2 將token加入headers回傳,申請取得資料

4.在後端將token解密比對帳號,如果帳號ok

5.將帳號個資回傳


如果將token用工具解密,在Payload內容變更帳號,然後直接線上產生一組新的token

將token回傳,申請取得資料,會無法解密。

(因為必須透過jwt開始時透過key加密方法產生的token才有辦法解密時,透過key來解密)



沒有留言:

張貼留言