0

第一次学习 JWT...

我有一个与 Auth0 Facebook 登录集成的 NodeJS/Express/Angular 2 应用程序。

我目前将用户配置文件详细信息存储在 localStorage 中,并且知道这可以通过开发控制台进行编辑。

我希望用户无论是否登录都能够发表某个帖子(并在他们登录时将他们的用户帐户与数据库中的结果实体相关联。但是,我想验证他们没有以任何方式更改 localStorage 对象,可能是为了模仿另一个用户等。

是否有一条路线能够处理这个问题,或者我应该将它分成两条单独的路线供经过身份验证的用户/客人使用,并从 JWT 检查中排除客人路线?

任何关于这个主题的一般建议也很感激

4

1 回答 1

1

您应该有两种类型的路线。那些在经过身份验证后可以访问的,而其他的则无需任何形式的身份验证。这几乎是您应该这样做的唯一方法。

除此之外,您可以在 localStorage 中保留您想要的任何内容。JWT 使用密钥(使用 HMAC 算法)或使用 RSA 的公钥/私钥对进行签名。如果一个人从 localStorage 复制它并将其发送到另一个人,那不是您的问题。

于 2017-03-13T18:18:09.337 回答