使用 jwt 令牌时如何发送用户信息？

Posted 2023-02-24

【中文标题】使用 jwt 令牌时如何发送用户信息？

【英文标题】：How to send user information when using jwt token?

【发布时间】：2018-08-20 08:45:52

【问题描述】：

我正在使用 angular5 和 jwt 开发“写评论”。

当用户写评论时，它会将评论内容连同 jwt 令牌一起发送到服务器。

在这种情况下，服务器是否应该在 jwt 令牌中处理作者信息？

或者我应该一起传递用户名吗？

想知道有没有通用的开发方法或参考。

【问题讨论】：

您应该在jwt中发送用户名，然后服务器可以对其进行解码以获得用户名。出于安全原因，请记住还要验证令牌

永远不要直接传递用户信息 - 这不安全。如果您要传递 JWT 令牌，您可能会将所需的所有用户信息存储在令牌中，以便服务器处理客户端身份验证。

在此处复制并粘贴您的令牌，并查看其中包含的内容：jwt.io

【参考方案1】：

我想问您是否将作者信息视为密码之类的敏感信息，如果没有，请参考以下答案：

如果您的 JWT 令牌已经包含作者信息，则无需发送用户名，因为发送的 JWT 已经包含它，您可以从 JWT 有效负载中验证并获取它，如果它不包含作者 JWT 中的信息我建议您将其添加到 JWT 有效负载中，因为每次用户添加评论时都需要发送用户名，因此单独发送它没有意义，也始终建议在使用 JWT 时使用 HTTPS 连接。

还始终在服务器端借助服务器机密验证 JWT 的真实性，例如，您可以使用 Spring 过滤器拦截所有经过身份验证的请求并检查 JWT 令牌的真实性。

另外，请您参考以下链接：

https://jwt.io/introduction/

https://stormpath.com/blog/jwt-the-right-way