在我的應用程序中,我包含了來自不同服務器/域的頁面。爲簡單起見,我將參考我的主要應用程序Web A,以及其他Web B。CORS跨源資源共享和Json Web令牌
某處我甲,用戶已登錄後,我將通過使用CORS和JWT加載從乙的頁面。 在A我創建了一個編碼的令牌,我傳遞給了Ajax。 Ajax將此令牌添加到標題中(「授權」 = 載體+編碼的令牌)。
B然後使用該令牌解碼並獲取usersId和它所屬的組,並確定用戶是否有權訪問資源。 另外還有一個訪問控制允許來源 = Web應用的一種設置幅B裏面,只接受來自A.要求
我的問題是關於CORS的安全部分與使用智威湯遜。 在開發過程中,利用郵差直接訪問資源乙的時候,我可以easiy旁路「訪問控制允許來源」。 只要我有正確的標記,就可以毫無問題地發回資源!我的意思是隻需要一些潛在的黑客掌握該編碼字符串,並且他們可以輕鬆使用郵遞員查看資源。
當涉及到安全部分時,下一步是什麼,因爲我完全失去了!
希望我明確解釋了這個問題。高度讚賞所有幫助
你有沒有想過這個?我目前想要做類似於你的事情。我想創建一個客戶可以在其網站上使用的小部件。我只希望在我的網站上創建帳戶的客戶能夠使用返回小部件的api。 – WBuck