Блог

В настоящее время я изучаю, как работает JWT, и я создаю API. Я создал функцию промежуточного программного обеспечения, поэтому для каждого вызова защищенного маршрута вызывается промежуточное программное обеспечение и анализируется доступ. Я передаю токен в заголовке HTTP-запроса в поле авторизация, но вот мой вопрос :

• кто-нибудь может посмотреть токен доступа в заголовке HTTP-запроса? потому что, если это так, это действительно небезопасно, нет? любой может посмотреть доступ к своему другу и сделать запрос api с помощью?

• Я уже создаю функцию обновления, чтобы получить новый токен доступа по истечении срока его действия, но в моем /refreshroute нет промежуточного программного обеспечения, потому что срок действия accessToken истекает при вызове refreshroute. Таким образом, /refreshroute также небезопасен и возвращает новый accessToken ….

пожалуйста, помогите мне, я действительно хочу узнать, как это работает…

Это зависит от типа соединения, с помощью которого вы отправляете запрос:

• Если запрос отправляется с использованием SSL-шифрования (т.Е. HTTPS), то вам, вероятно, не придется беспокоиться о том, что кто-то просматривает заголовки, поскольку надежное шифрование не позволит никому другому просмотреть запрос, кроме получателя (сервера).
• Однако, если нет шифрования SSL, то полезная нагрузка, отправляемая на сервер, подвергается воздействию и открыта для посторонних глаз и уязвима для атак MITM.