JWT存在漏洞,2017年某平台曝出XSS攻击,百万用户数据泄露。别使用明文存储密钥,确保使用HTTPS。
JWT(JSON Web Tokens)是用于在各方之间安全地传输信息的一种简洁、自包含的方式。使用JWT,你可以在用户登录后生成一个token,然后将其发送到客户端,客户端在后续请求中携带这个token进行身份验证。
这就是坑:JWT本身不包含加密,容易被中间人攻击。
别信:认为JWT可以替代传统会话管理。
别这么干:不要在JWT中存储敏感信息,如密码。
实操提醒:使用HTTPS保护JWT传输,并在JWT中仅存储必要信息。