提问人:Shirish Pokhrel 提问时间:5/12/2023 更新时间:5/12/2023 访问量:72
如果 JWT 和 baseurl 可以从网络选项卡中复制,那么任何人都不能访问邮递员中的信息吗?
If JWT and baseurl can be copied from the network tab, can't anyone access the information in the postman?
问:
假设我有一个 react 应用程序,并且有一个用于登录的 api,它在响应中发送 JWT 令牌。我登录并使用该令牌,调用一个 API 来查看我的所有预订。
现在我的困惑来了。如果我转到网络选项卡,我可以在网络选项卡中看到 JWT 令牌和请求 URL。现在,如果我使用 JWT 和 baseurl 并转到邮递员,我可以看到我的预订。
由于我们无法限制浏览器显示正在进行的 api 调用,这意味着如果我登录并说任何人(例如某种黑客)获取令牌和 baseurl,他们将能够访问和更改我的个人资料,甚至更深入地访问服务器和数据库(可能是, 我不太确定所有的黑客攻击)。
我看过很多文章、问题和资源,这些文章、问题和资源解释了如果 JWT 被更改,签名将如何不匹配。我们不要更改 JWT。而且 JWT 也有到期时间。好的,但是如果 JWT 还有一些时间到期怎么办。
假设这不是为了获得预订,而是为了编辑我的个人资料。黑客从标头和基本 url 中获取令牌。这意味着我现在已经死了。他可以做任何他喜欢的事情。
那么我关心的是如何让api调用更安全呢?什么是最佳实践以及如何保护 api 调用(主要是在后端的 react 和 node 中)?
答: 暂无答案
评论
say anyone like some sort of hacker get the token and baseurl, they would be able to access and alter my profile所以不要让他们得到你的令牌。这并不特定于 JWT,您的用户名和密码也显示在网络选项卡中。 不知道你这是什么意思。or even get more deep into the server and database