#node.js #angular #jwt
#node.js #angular #jwt
Вопрос:
Я написал локальную логику аутентификации в Node, сгенерировал JWT и отправлю его в приложение Angular при входе в систему.
В Angular, как только пользователь входит в систему с правильными учетными данными, я затем устанавливаю JWT в локальном хранилище!
В Angular я просто проверяю, есть ли токен в localStorage при разных маршрутах навигации. Но как мне проверить токен??
Если я меняю токен с ‘xxxxxxxxxxxxxx’ на ‘гггг’, даже тогда он работает, поскольку я просто проверяю, доступен ли токен в локальном хранилище.
Как мне преодолеть эту проблему. ?
Я знал о заголовках. Но они работают только для вызовов API, я просто хочу ограничить доступ пользователя к защищенным страницам интерфейса с недопустимым токеном.
Комментарии:
1. Мы использовали эту библиотеку для этой цели: github.com/auth0/angular2-jwt
2. Для защиты вызовов API нам нужно отправить токен в заголовках. Чтобы неавторизованный пользователь не мог получить доступ к нашим вызовам API. Но как мне обезопасить их ввод в панель мониторинга??? Потому что, если какая-либо случайная строка установлена в качестве токена, мы будем вводить в панель мониторинга. Как мне предотвратить это ??
3. какая панель мониторинга? И библиотека предназначена специально для проверки того, является ли токен допустимым jwt-токеном.
4. Токен подписан с секретом. Поэтому, даже если кто-то что-то введет, это все равно будет недействительно. Что касается того, как узнать, является ли сеанс действительным. Информация о достоверности встроена в формат временной метки, которая проверяется. Снова. Изменение временной метки прерывает процесс подписания / проверки
5. Взгляните на модули passport и стратегию jwt passport. Образцы можно найти о том, как подписать и как проверить клиента