前后端分离 api安全设计
最近打算做个商城项目(个人学习练手),想采用前后端分离的方式来实现,但是api认证这块经验不足。网上看过jwt有关的帖子,但是一直不明白。
1.jwt相比随机生成一个字符串(也是有时限的)有什么优势?第一部分header内容居然包含了加密的算法,这不是更加不安全么?
2.jwt应该是登陆后生成的一个token, 但是在不登录的情况下,部分接口也是可以请求的啊,比如商品展示之类。那基础的api认证应该怎么做呢?
摇曳的蔷薇浏览 732回答 5
5回答
-
忽然笑
加密私钥放你服务器侧,如果没有泄漏有什么不安全 这个也可以用中间件来处理需要身份信息的api -
牧羊人nacy
可以用passport中间件,原理是一样的,只是封装了一下而已 -
函数式编程
1.jwt加密规则更复杂,你随机生成字符串直接传入客户端,不是直接被获取到了?jwt的header没有加密,只是进行了base64,不会存入敏感信息,本就是透明的2.需要验证身份信息的API就引入验证信息中间件 或 继承基类嘛
随时随地看视频慕课网APP
相关分类
Java