Я играю с внедрением JWT в одном из моих веб-приложений.Существует MySQL-база данных, управляемая MariaDB, в которой хранятся мои пользователь и пароли.
Actall Applicationflow выглядит следующим образом, если у пользователя есть сохраненный токен JWT:
- Проверьте, есть ли у пользователя токен JWT
- Я проверяю токен с помощью проверки() метод и мой секретный ключ.
- Я получаю данные простого пользователя и теперь начинаю собирать данные этого пользователя, которые были сохранены в этом токене (по идентификатору пользователя).
- Обратите внимание, что нет никакого дополнительного SQL-запроса, чтобы проверить, является ли собранный пользователь vaild, и даже нет никаких учетных данных, сохраненных в токене пользователя, только его ИД пользователя и некоторая дополнительная информация.
Мой вопрос: это безопасный путь?Я имею в виду, могу ли я быть на 100% уверен, что токен генерируется моим сервером, если пользователь предоставляет токен, который проходит проверку методом verfiy ().
Процедура входа в систему такова: 1. Пользователь публикует имя пользователя &пароль к серверу 2. Сервер проверяет наличие данных учетных данных в базе данных 3. Если он найден и vaild, сервер сохраняет JWT-токен с UserID в файлах cookie клиентов.
Каждый другой запрос проверяет только этот токенvaild в сочетании с моим секретным ключом.
Заранее спасибо.