Защита заголовка авторизации в запросе Ajax от элемента Inspect
Мне нужно какое-то мнение о том, как защитить токен JWT при отправке формы с использованием ajax, так это выглядит на элементе проверки google chrome проверить элемент в браузере Chrome токен виден, и неизвестный пользователь может отправлять некоторые данные на свою конечную точку, есть ли идея защитить токен JWT? Любое мнение приветствуется, спасибо! с помощью HTTPS решить эту проблему?
спасибо за ответ, да, это идея использования JWT, но в этом случае я создаю веб-сайт фронт-офиса для зарегистрированного члена, поэтому я думаю, что я должен защитить API с помощью токена, чтобы предотвратить злонамеренного и неаутентифицированного пользователя. fyi: токен, который я передаю в ajax, является пользователем для приложения в качестве мастера, какие-либо дальнейшие предложения?
Но все же ... генерируется ли токен jwt после входа в систему?
да, но функция входа в систему действует в бэкэнде (laravel), а учетные данные для входа в систему используют, скажем, «API приложения», когда я возвращаю представление, оно также передает токен, я знаю, что это странно, потому что токен является общедоступным ..
Ответы 1
Обычный пользователь входит в систему с именем пользователя / паролем (или чем-то еще), если он входит в систему, сервер вернет токен jwt, который он может использовать для других запросов. Таким образом, jwt уже должен быть безопасным (если только неаутентифицированные пользователи могут войти в частную область, но тогда у вас есть другая проблема, которую нужно решить). Если вы не хотите, чтобы jwt отображался в вашем js-коде, вы можете сохранить токен в сеансе сервера, а затем выполнить вызов ajax для получения токена в псевдокоде:
$.ajax({
type: "POST",
url: "/myscript.php",
data: {action : "GetToken"},
dataType: "json",
success: function(token){
// now you can do whatever you want with the token, if any.
},
error: function(){
}
}
.Php
<php
if isset($_POST["action"] && $_POST["action"] == "GetToken"){
echo $_SESSION["userToken"];
}
?>
Очевидно, что вам нужно сохранить токен в $_SESSION при его создании.
спасибо за подробное объяснение. Представьте, если у вас есть регистрационная форма и ее общедоступная, чтобы любой мог зарегистрироваться на вашем веб-сайте, какой тип аутентификации вы используете, чтобы убедиться, что никто другой не использует ваш регистрационный API?
как это бывает, api для всех зарегистрированных пользователей?
Так что просто попросите логин или автоматически войдите в систему после регистрации.
автоматический вход пользователя после регистрации
Обычно вы получаете токен jwt после входа в систему, поэтому его может увидеть только зарегистрированный пользователь.