问题描述
我正在使用 django JWT 获得许可和 rest_framework。
有一个问题。如果一位用户上传了一篇帖子并想要修改/删除帖子或想要更改自己的个人资料
,
肯定是用户请求restAPI。在 http(s) 请求中可能有一些关于用户的信息,
如“localhost:8000/data/change/userid/”或存在于帖子正文中。
重点是我想如果有人(比如黑客)抓住别人的身份证(或身份证号码)并假装他们
服务器不知道谁是真正的所有者吗?
我该如何保护或加密?
解决方法
由于您使用的是 JWT,因此您应该为每个具有 JWT 权限的请求提供一个令牌。因此,如果没有令牌,整个系统将无法运行。据我所知,您假设中间有人会获取与用户相关的一些 ID,但这并不重要,因为他不会仅通过 ID 进入系统!
此外,每当您在 HTTPS 下使用它时,令牌也是安全的。 (因为没有加密,中间没人能抢到)