所以我有一个在 NodeJS 中使用 Express 的 API,我想保护它,这样只有我或已知的客户才能使用它。我发现了 JSON Web Tokens,但如果我使用 JQuery 从 Web 客户端向 API 发出 AJAX 请求,我不确定如何保证密钥的安全。人们将能够获得密钥并自己提出请求,对吗?
我该如何防止这种情况?还是我误解了 JSON Web Tokens 的概念。
其他较小的问题,我发现 jsonwebtoken npm 包似乎很流行,您可以签署一个网络令牌并验证一个。验证如何工作?我知道您传递了一个秘密,但相同的秘密用于多个签名密钥,对吗?我原本以为我将密钥存储在数据库或其他东西中,并验证请求中提供的密钥是否在我的数据库中,但情况似乎并非如此,因为您没有存储密钥。