<img> 标签的基于 JWT 的身份验证？

Question

假设我有一个使用 JWT 令牌对后端 REST api 进行身份验证的单页应用程序。执行 REST 请求时，我在 http 标头中传输 JWT 令牌。到目前为止，一切顺利。

现在，假设我想从服务器下载一个图像，并且我希望该图像仅供经过身份验证的用户访问。在服务器上，这没问题：只需定义一个传递图像的路由，并在该路由中验证 JWT 令牌。

但是：如何将令牌从客户端传输到服务器？如果我使用常规的 <img ...> 标记，我无法将令牌附加为 http 标头。我该怎么办？

我基本上可以考虑添加令牌，例如base64 编码的查询字符串，但这似乎不是很安全，因为令牌随后出现在浏览器的历史记录中。另一方面，我想不出另一种方法，不完全使用 JavaScript 加载图像。

有什么提示吗？

Answer 1

如果我想到 Amazon S3，那么这里就是你想要的签名 url。正如您已经建议的那样，在查询字符串中添加一个标记就可以了。

关于安全性：我认为这是令牌到期日期的问题。由于令牌没有失效，因此使用签名 URL 可能会更好：

1. 获取 JWT
2. 使用该令牌获取签名 URL
3. 使用该 URL 检索 img

通过这种方式，您可以独立于 JWT 控制签名 URL 的过期时间，还可以定义用于签名 URL 的令牌的长度。