在方法中发送 userID 或发送 Token

Posted

技术标签:

【中文标题】在方法中发送 userID 或发送 Token【英文标题】:Send userID in method or send Token 【发布时间】:2018-02-23 17:44:18 【问题描述】:

我有一个问题,我需要如何发送用户 ID 来映射实体:

假设我使用 angular 或 react 或任何首页框架,我需要如何在实体上发送用户 ID。 例如,如果用户正在创建产品,我的选项是:

1)使用用户 ID 发送产品:

我的后端将通过用户 ID 搜索用户 在产品中设置用户。

2)使用用户Token发送产品:

我的后端将验证令牌。

从 jwt 获取声明中的用户 ID。

按 id 搜索用户

在产品中设置用户

这样做的最佳选择是什么? 我认为如果我从首页显式发送用户 ID,将是一个安全问题,而不是发送令牌。

【问题讨论】:

两者,发送token + userId并一起验证。 这个想法是在令牌声明中发送用户ID?当我验证令牌时,我得到了用户 ID? 【参考方案1】:

第一个是不安全的。有人可能会发送另一个 userId。第二个也有一些安全问题,但没有第一个那么糟糕。如果您有访问令牌,请发送访问令牌而不是 Id 令牌。 Id 令牌用于客户端。

【讨论】:

以上是关于在方法中发送 userID 或发送 Token的主要内容,如果未能解决你的问题,请参考以下文章

30_Django中关于使用ajax发送请求中`csrf_token`的问题和解决

使用 AJAX 向 Rails 发送 Authenticity Token 的正确方法

解析token中的信息 ,比如token中的userid

Facebook Graph API 停止发送完整结果

发送用户 ID 和 access_token

基于token的身份验证方法