对不起,这样的新手问题。
我对网络安全相当陌生。
有人可以向我解释一下,当我可以包含 { username | 每个 API 请求的电子邮件 } / 密码?
问问题
1114 次
1 回答
3
大多数情况下,这是一个关注点分离的事情。JWT 是一种授权请求的方式,而用户名/密码是一种身份验证方式。关键区别在于身份验证是您理想情况下只需要执行一次的操作,并且应该由负责该操作的专用端点完成。对于每个其他请求,您只需确认您从初始身份验证中收到的授权。
如果您要在每个请求中发送用户名和密码,那么每个端点都必须处理身份验证逻辑,这将是一场噩梦。使用 JWT,端点可以简单地验证它是否有效,然后继续执行它实际负责的工作。
JWT 只是一种授权方法。在传统的网站风格应用程序中,这将由 cookie 处理。然后,这使用户能够登录一次,然后继续浏览站点的受保护区域,而无需再次登录。相当于您建议的内容本质上就像强制用户每次单击链接时再次登录,只是为了查看下一页。
于 2018-02-02T17:53:59.543 回答