我正在使用 MERN 堆栈 并使用 JWT 进行身份验证 开发演示 WebApp。
在后端,当用户请求登录时,我正在准备一个 JWT 令牌,方法是在令牌的有效负载中添加该用户的 MongoDB ObjectID 和必要的时间戳。
在用户登录时,我想将该会话的用户详细信息存储在前端。 我知道我可以通过 API 响应共享所有这些细节并使用 React Context/Redux 存储它。但是,在登录期间从后端创建一个 JWT 令牌并将所有特定于会话的用户详细信息(除了安全信息)存储到有效负载中并在响应中发送加密令牌是一种好习惯吗?这样,我就可以从 JWT 令牌中解密和解构用户详细信息,并将它们存储在该会话中。
渴望了解上述过程的优缺点,同时考虑最佳编码实践。
【问题讨论】:
标签: node.js reactjs authentication jwt mern
您似乎需要来自 OpenID Connect (https://openid.net/) 的 ID 令牌之类的东西。这是一个 JWT,其中包含在前端用于识别用户的用户数据,可能在某处打印他们的用户名等。使用它是一种常见的做法,但你应该记住,如果你在该令牌中放入太多信息,它将得到相当大(可能会影响较慢的连接,或者需要解码、验证签名等的较慢计算机)
另一个可行的选择是有一个端点,它在需要时返回所有信息(请参阅 OIDC 中的 userinfo 端点)。
您还必须记住,任何有权访问该 JWT 的人都可以读取所有这些信息,因此不应在其中保留任何个人信息。
请注意 - I can decrypt & destructure the user details from the JWT token - 你可能是指 decode 这里。解码是将 JWT 从 base64 编码字符串更改为 JSON 对象的行为。你可以拥有真正加密的 JWT (JWE),它可以保护它们不被窃听者读取,但你不会在前端应用程序中使用它们。它们的设置和使用更多 CPU 也更加复杂。
【讨论】: