0

我有以下场景:一个使用 Node.js REST API 的 Angular 4 Web 应用程序,它使用公司范围的 REST 身份验证服务。

此 REST 身份验证服务返回一个 JWE 令牌,我可以使用node-jose库对其进行解密,然后我的 Node.js API 检查用户的角色以确定是否允许他使用 Web 应用程序。

根据用户角色,Angular Web 应用程序可能允许/拒绝访问某些路由,因此我使用Guard routes.

所以,我的问题是:是否可以将用户角色附加到原始 JWE 令牌并将其返回到 Angular Web 应用程序同时仍然保持有效?

token 的请求并返回到 web app 就是这样的:

request.post('http://security.companyname.com/service/security/auth')
            .send({ username: req.body.username, password: req.body.password })
            .set('Content-Type', 'application/json')
            .then(authResult => {
                    res.json({
                        status: true,
                        token: authResult.text,
                        error: null
                    });
            })
            .catch(err => {
                res.json({ status: false, token: null, error: err.message });
                console.log(err.message);
            });
4

1 回答 1

1

不,如果有可能任何人都可以生成有效的令牌。JWT 使用密钥进行签名,对内容的任何更改都会使签名无效,并且服务器必须拒绝该令牌。

要创建有效令牌,您的应用程序将需要密钥,并且由于您在 Web 应用程序中工作,因此密钥在客户端将不受保护。您需要向服务器请求新令牌

于 2017-10-30T13:05:38.697 回答