angular - 承载令牌是否隐藏在对 REST 端点的 https 调用中
问题描述
所以我正在开发一个使用访问令牌(JWT,使用弹簧安全)的应用程序对用户进行身份验证,令牌被加密并存储在 httponly cookie(ngx-cookie)中,并且访问令牌的有效期为 24 小时和一个新的如果过期,则会发出令牌,目前我正在使用本地主机,并且每当我进行 api 调用时,承载令牌在网络选项卡的标题中可见。我的问题是当应用程序处于活动状态并且通过 https(SSL) 时,标头和有效负载数据是否仍然可见或隐藏/加密?
目前是编程新手,因此任何指导都会非常有帮助。
不记名令牌仅针对失败的 api 调用显示,不知道如何以及为什么
解决方案
TLS(传输层安全,更早的 SSL)是负责处理 HTTPS 的协议。在OSI 参考模型中,TLS 协议适用于传输层(第 4 层),而 HTTP 协议是应用层(第 7 层)协议(标头是 HTTP 协议的一部分)。
注意:OSI 模型是参考模型,而实际实现是IP 模型,它是 OSI 模式的简化版本。
在通信中,来自给定层的数据在发送之前由低于该层的层封装/包装(阅读有关 OSI 参考模型的更多信息)。因此,当启用 HTTPS 时,您的 HTTP 数据(数据 + 标头)将始终由传输层使用 TLS 协议加密。因此,您的应用程序数据(包括 HTTP 标头/正文)将始终在通过网络发送之前进行加密。因此,无需担心。
推荐阅读
- python - Python:无法使用 pip 安装包
- java - 尝试连接 websocket 时使用“SockJS+spring websocket”的 Websockets 错误(404:STOMP 端点的路径未找到)
- azure-policy - AuditIfExists 的 Azure 策略效果
- azure - 服务原则分配给谁?ACR 还是 App 服务?
- oracle-sqldeveloper - SQL Developer Data Modeller 中的注释与 RDBMS 注释
- javascript - Angular 10 --proxy.conf 没有将请求重定向到目标
- spring - 在 MongoDB 中搜索,条件是每个属性只能得到一个结果,最高版本
- android - 从后台恢复时如何重新启动 nativescript 应用程序?
- r - 直接从 FRED 网站提取数据以在 R 中创建数据框
- google-cloud-platform - 加载操作中的 GCP Bigquery 错误:缺少字节