如果我要提供一个虚假的JWT,我意识到Angular将“接受它”登录,因为大多数教程只是检查是否在localStorage中设置了JWT键(如果它没有过期) .
有没有关于使用JWT的东西?我觉得客户端需要检查以确定令牌是否实际来自服务器 . 考虑这种情况:
用户使用假的JWT路由 /#/admin ,其外观如下: {'username': 'hacker', 'role': 'admin'} . 现在用户向服务器发送一个令牌,检查签名(&expiration),因为秘密签名密钥错误,用户从(API)服务器收到401/403响应,客户端挂起(带工具栏的空白屏幕) )因为服务器没有有效的响应 .
这是“安全”还是“好”,用户可以用假JWT绕过我的Guard,因为他们无法从服务器获取任何数据?
1 回答
这实际上是正常的 .
如果用户的令牌被服务器拒绝,您应该将其注销 .
即使他可以通过警卫,他也不会从你的管理面板获得任何数据,因为服务器应该拒绝因JWT无效而导致的每一个请求 . 所以你不用担心 .