jsonwebtokenのデータは書き換え不可能です

Question

私はjsonwebtokenを私のノードjsサーバーに、jsonwebtokenにはユーザーの役割を保存しています。

私は彼が要求をするたびに、必要な役割がトークンに与えられているかどうかをチェックするだけです。しかし、人々はこの役割を変えることができますか？ 私は誰もがそれを見ることができると知っているが、誰も私の秘密なしにそれを変更することはできないと思う？

もちろん、私はいつもjsonwebtokenをチェックして正しく署名されています。 この方法はよかったと思いますか？ 申し訳ありませんが、私の主な言語ではありません。

Answer 1

jwtは、クライアント側のCookieまたはLocalStorageに保存されていると思います。
これは、ユーザーがCookieを削除または変更できますが、ユーザーは秘密情報なしでは読み取ることができません。

トークンを更新しようとすると、おそらくサーバー側から破損して読み取れなくなる可能性があります。

トークンが破損している場合は、ユーザーをログアウトしてログインページにリダイレクトすることをお勧めします。

Answer 2

jwtデータを変更して別の署名でハッシュすると、サーバーはその偽のトークンを認識します。

また、httpsを使用して、あなたのトークンがスニッフィングできないようにしてください。

あなたはクッキーにトークンを保存するならば、彼