在我的应用程序中,我包含了来自不同服务器/域的页面。为简单起见,我将参考我的主要应用程序Web A,以及其他Web B。CORS跨源资源共享和Json Web令牌
某处我甲,用户已登录后,我将通过使用CORS和JWT加载从乙的页面。 在A我创建了一个编码的令牌,我传递给了Ajax。 Ajax将此令牌添加到标题中(“授权” = 载体+编码的令牌)。
B然后使用该令牌解码并获取usersId和它所属的组,并确定用户是否有权访问资源。 另外还有一个访问控制允许来源 = Web应用的一种设置幅B里面,只接受来自A.要求
我的问题是关于CORS的安全部分与使用智威汤逊。 在开发过程中,利用邮差直接访问资源乙的时候,我可以easiy旁路“访问控制允许来源”。 只要我有正确的标记,就可以毫无问题地发回资源!我的意思是只需要一些潜在的黑客掌握该编码字符串,并且他们可以轻松使用邮递员查看资源。
当涉及到安全部分时,下一步是什么,因为我完全失去了!
希望我明确解释了这个问题。高度赞赏所有帮助
你有没有想过这个?我目前想要做类似于你的事情。我想创建一个客户可以在其网站上使用的小部件。我只希望在我的网站上创建帐户的客户能够使用返回小部件的api。 – WBuck