什么信息在身份validation令牌上签名
我使用jwt
与NodeJS作为我的身份validation令牌。 目前,我签署的观众,IP和客户端的有效载荷。
我也把用户的guid
放在有效载荷上,以便在随后的请求中,我可以使用guid
find用户; 一个guid
的例子是bd262477-8b93-4f2c-9dc9-175edf6e0d14
。
这是不好的还是安全问题? 我想我问的是你应该把什么信息放在有效载荷上? guid
好还是坏?
有人可以给我一个链接,解释为什么(或为什么不)有一个安全问题,你包括在令牌?
整个令牌应该被签名,保护令牌体内的所有声明。
关于什么你可以安全地放在令牌:这取决于令牌将被存储在“rest”的地方。 但是一般来说,除非要encryption令牌,否则不应该将敏感信息放在令牌中(除了签名外,encryption还是第二步)
我在Stormpath工作,我们有几个关于这个话题的文章:
使用智威汤逊正确的方式!
在哪里存储您的智威汤逊 – cookies与HTML5网页存储
基于令牌的单页面应用authentication(SPA)
希望这可以帮助!
- 我应该如何存储由RESTful API生成的令牌?
- 如何使用节点expression式在mongodb中存储Json Web Token
- 将数据安全地存储在Node CLI应用程序中
- 如何使用feathersjs-authentication将JWT令牌发送到客户端?
- 如何与快递和socket.ioauthentication与TOKENS而不是与COOKIES。
- 正确的护照策略匿名移动应用程序
- Nodemailer / Gmail – 什么是一个刷新令牌,我如何得到一个?
- 令牌和安全与条纹api为node.js(条纹节点)
- 基于令牌的身份validation和在Nodejs中的Facebook身份validation