問題タブ [json-web-token]

したがって、NodeJS で Express を使用する API があり、それを保護して、私または既知のクライアントのみが使用できるようにしたいと考えています。JSON Web Tokens について見つけましたが、たとえば JQuery を使用して Web クライアントから API に AJAX 要求を行う場合、キーを安全に保つ方法がわかりません。人々はキーを取得して自分でリクエストできるようになりますよね?

これを防ぐにはどうすればよいですか？または、JSON Web トークンの概念を誤解していますか?

他の小さな質問ですが、人気があると思われる jsonwebtoken npm パッケージを見つけました。Web トークンに署名して検証できます。検証はどのように行われますか? シークレットを渡すことは知っていますが、同じシークレットが複数の署名付きキーに使用されていますよね? 私は当初、キーをデータベースなどに保存し、リクエストで提供されたキーが私のデータベースにあるかどうかを確認すると思っていましたが、キーを保存していないため、そうではないようです。

認証方法としてjsonwebtokenを使用してノードエクスプレスRESTful APIを作成しました。ただし、Angular js を使用して x-access-token をヘッダーとして渡すことはできません。

私のJWTトークン認証スクリプトは、

トークンが正しいかチェックするミドルウェアは、

最後にGETメソッドのスクリプトは、

しかし、それは常に認証に失敗しました。この問題を解決するために私を助けてください。私は本当にここで立ち往生しています。

次の認証失敗メッセージのみが常に表示されます。

この質問は新しいものではなく、おそらくすでにインターネット全体で議論されていることを私は知っています.

私はそれに慣れていませんが、いくつかの調査の結果、匿名はトークンを盗聴できますが、それに何も追加できないため、安全であることに同意します。JWT を HTML5Storage に保存し、ペイロードをデコードして機密情報 (DisplayName、email_address、role_info など) を取得する予定です。

これが私の質問です。匿名で私の JWT トークンを盗聴し、私の代わりに行動することはできますか? それが可能な場合、どうすればそれを回避できますか?

このリンクを参照して API を作成しました 。次の方法でリクエストを検証します。

次の方法でリクエストを検証したい：

例： router.get("/users", jwtValidate ,function(req,res)

現在、認証を回避するために、ミドルウェアの上にルートを適用する必要があります。

Paw で JWT を生成するための拡張機能を見つけましたが、トークンのデコードとペイロードの動的変数としての使用についてはこれまでのところ何もありません。