0
私たちのイントラネットシステムは、単にクッキー使用してユーザーがログイン後にユーザーデータを格納するプレーンテキストのクッキーにユーザーに関するデータを格納する対主張して使用する(ユーザーID、名前、役割を...)JWTは
私はJWTについて学んでいました今日のトークンを使って、それを現在の方法で使うとどんな利点があるのでしょうか?
だから、JWTの代わりにトークンを使用するために何らかの強い理由がある...クッキーにプレーンテキストを格納し、安全でないかもしれない何かのように思えるが、私はまた、他のウェブサイトは、これらのクッキーを見ることができないことを読みますか?
サーバー側のCookieのコンテンツをどのように検証していますか?たとえば、認証されたユーザーが権限のないリソースにアクセスするために自分のUserIdやRoleを(ブラウザのインスペクタを使用するだけで)変更できますか? SSL/TLSを使用していますか? – pedrofb
検証:サーバーは単にクッキーから値を読み込みます..非常に単純です..それは悪いですか?私はクッキーの値を変更するためにどのツールを使用するのですか(私はこのようにはしませんでしたので、私はこのようにはしませんでしたが、安全でないと感じています) – punkouter
クロムインスペクタを開く - >アプリケーションデータ - >クッキーと今あなたは値で遊ぶことができます。 – pedrofb