【发布时间】:2018-03-02 01:50:15
【问题描述】:
我有一个 python 应用程序需要为用户提供一个 JSON Web 令牌以进行身份验证。令牌是使用 PyJWT 库 (import jwt) 构建的。
从我所阅读的内容来看,在客户提供一些凭据(例如登录)后将令牌提供给客户似乎是一种可接受的做法。
然后,客户端在 Authorization Bearer 字段中的 HTTP 请求标头中使用该令牌,这必须通过 TLS 进行以确保令牌不被暴露。
我不明白的部分是如果客户端意外暴露了该令牌怎么办?这不会让任何拥有该令牌的人冒充他们吗?
将令牌传递给客户端的最安全方式是什么?
【问题讨论】:
-
你使用什么网络服务器?你必须在 ajax 请求中使用令牌吗?
-
使用自定义 web2py 服务器作为框架。令牌将在 ajax 中使用。