複数のクライアントのhtmlビューをレンダリングする

Question

私はクライアントの要求に従っていくつかのデータを取得して「オンザフライ」でレンダリングされた動的HTMLページでHTTP GET要求に応答するNode.jsサーバを作成しています。すなわち、他の情報と一緒に、私はセッショントークン（JWT）を使用し、これは各クエリパラメータとしてサーバに送り返され、各クライアントが要求をGET識別するに

：

my.domain/api/service?token=blablabla&req=123 

それは動作しますが、確かに。私は、クエリパラメータとしてセッショントークンを送ることが良い（そして安全な）アイデアであるのだろうかと思います。 私はヘッダーで送信しますが、クライアントのページでは難しくなっています。これは上のURLにhrefタグを設定したためです。

別の方法をお勧めしますか？

Answer 1

機密情報（たとえばパスワード）が含まれていない限り、暗号化されていないため、暗号化されていてトークンを非常に簡単に復号できるため、送信方法は問題ありません。

誰か（ハッカー、ユーザーなどが）トークンを変更した場合でも、サーバーが確認しますと（あなたが正しく検証を設定した場合）ことに気づくと、ページ、メディア、データまたは何あなたのユーザーへのアクセスを拒否することができますリクエスト。

重要！SSLを使用してください！それ以外の場合、ハッカーは所有者からトークンを盗み出して自分で使用することができます。サーバーは、有効で変更されていないかどうかを確認します。続きを読む：あなたがそれを行う方法man-in-the-middle attack

---

、しかし、私は個人的にヘッダを経由して、それをを送信し、完全にあなたとあなたのプロジェクト次第です。