什么版本?4.5
测评反馈请求使用的jwt-Token,带有用户信息,不安全。
如果改成toekn不带用户信息,改成返回标识,后台把标识和用户信息存在redis里面,需要调整哪些地方?
token可以加密传输,不需要存redis,具体看: https://center.javablade.com/blade/BladeX-Doc/src/branch/master/%E7%AC%AC5%E7%AB%A0%20%E5%8A%9F%E8%83%BD%E7%89%B9%E6%80%A7/5.3%20Secure%E5%AE%89%E5%85%A8%E6%A1%86%E6%9E%B6/5.3.8%20%E4%BB%A4%E7%89%8C%E5%8A%A0%E5%AF%86.md
另外jwt设计初衷就是脱离状态持久化,可以无状态认证,并且jwt只携带用户id信息,并不携带用户敏感信息。
现在返回的token可以直接使用base编码解开,要求请求和返回的信息中不能带用户信息
token加密也有配置
加载中...
苏公网安备 32041102000998号