大家好:
想請問jwt產生
1.伺服器端在收到登入請求後向"資料庫"驗證使用者
2.伺服器端產生和回傳一組帶有資訊,且僅能在伺服器端再度"解碼後被資料庫驗證"的Token
Token被回傳後,存取在「客戶端」(set_cookie)
3.客戶端向伺服器端發送請求時,皆附帶此 Token 讓伺服器端驗證
想請問如果沒有經過步驟1,登入機制,要怎麼產生jwt呢? 那就要自己設定參數嗎?
如果有jwt驗證,網頁任何的input的資料,即使有前端做資料型態驗證,不管是post或get的方式到後端,是否還是要再判斷input的值資料型態呢?
謝謝
JWT token只是3段base64而已,除了最後簽章無法偽造,其他你愛怎麼看都可以
沒有登錄資訊應該也是可以給JWT,payload那部份用anonymous就行了,剩下簽章部份還是每個anonymous給不同的簽章。
JWT頂多能取代CSRF token幫你防CSRF,其他驗證你還是得自己做。
就我所理解的, JWT 主要被用於身分驗證,如果你的網站沒有身分驗證的需求,為何需要 JWT 呢?
再來,能在前端就先把錯誤的 Input 擋掉那自然是最好的,兩邊都該進行驗證。