【发布时间】:2019-01-22 09:12:43
【问题描述】:
从本地存储中删除 JWT 后,为什么在节点 API 调用的 HTTP 标头中发送令牌?当我使用浏览器的后退按钮转到上一页并执行任何操作时(角度 6)。
【问题讨论】:
标签: jwt
【发布时间】:2019-01-22 09:12:43
【问题描述】:
显然浏览器出于某种原因正在缓存 JWT。但是,这对您来说应该不是真正的安全问题,因为通常您的 Node 应用程序总是必须验证传入的 JWT 是否有效并且可以信任。向您的 Node 应用程序发出请求的通常工作流程如下所示:
- 浏览器向您的 Node 应用程序中的某个端点发送请求,包括 JWT
- Node 应用程序接收 JWT
- 它可能会检查声明,但也
- 它会检查诸如用户状态之类的东西,可能通过访问数据库表来检查
JWT 不是,也不应被视为无条件访问您的 Node 应用程序的许可。诸如声明之类的事情与浏览器状态无关,所以这个缓存问题不应该是一个真正的问题。而且,大多数时候,您的 Node 应用程序都希望在服务器端运行额外的检查。
【讨论】: