Как защитить конфиденциальные данные в SPA с помощью токенов JWT

Question

Я подумываю о создании приложения с javascript и сделать его SPA.

Использование токенов JWT для аутентификации пользователей и установки ролей пользователя в приложении, что является лучшим способом защиты конфиденциального контента?

Использование html-шаблонов для зарегистрированных страниц плохо? Должен ли я всегда возвращать чувствительный контент из api?

Thanks

Answer 1

Все динамическое должно передаваться через ваш веб-сервис. Если вы не будете использовать что-либо ненадлежащим образом (например, с использованием драйверов SQL без предотвращения инъекций), не будет ничего опасного (по крайней мере на первом этапе).

Кроме того, чтобы предотвратить атаки MiM, вы должны использовать SSL/TLS.

Answer 2

Вы можете зашифровать свой JWT. Такое шифрование определено в RFC7516.

В зависимости от языка программирования, используемого на стороне сервера и на стороне клиента (JS), вы можете найти библиотеки, поддерживающие JWE.

В jwt.io вы найдете список этих библиотек.