#請益 jwt token權限問題 - B8 留言

國立陽明交通大學

此留言位於文章 B8

想請問大神們，最近自己寫一個side project 是做前後端分離的，權限有分管理者和一般使用者，登入之後後端會傳一個jwt token和權限放在前端的localstorage（如下圖），把管理者代

我覺得最主要還是 jwt 簽章的部分該驗就要驗好，系統設計要用 HS264 就確保一定要用 HS264 驗，用 RS264 就確保一定使用 RS264 驗，不要偷懶不驗證或是用 none 不然就算是用存 0/1 或是 b1 說的存 id 都有可能有 BAC (Broken Access Control) 的問題然後就是可以看別人怎麼針對 jwt 做攻擊來思考自己的做法夠不夠安全，以及如果是用相關套件的話可以關注那個版本有沒有 cve 之後的