前后端分离 api安全设计

什么是 JWT -- JSON WEB TOKEN

1.JWT本身是web认证的一种方式，如果随机字符串可以满足你的业务需要那也可以。JWT是一种规范、标准，如何生成这个JWT是可以自己决定的，但根据JWT的定义，JWT并不适合放置敏感信息，JWT的生产是在后端的，后端保留生成用到的秘钥
2.接口的认证是后端自己定义的，后端要维护接口-登录验证关系和接口权限，对免登录的接口不做登录验证就好了

Ps:HTTP是可以模拟的，没有绝对的安全，即时使用JWT或其他验证方式都有被盗用的风险，我们只能提高服务的安全性，比如使用Https、ip校验、user-agent校验、referer校验等。

1. 加密私钥放你服务器侧，如果没有泄漏有什么不安全
2. 这个也可以用中间件来处理需要身份信息的api

可以用passport中间件，原理是一样的，只是封装了一下而已

1.jwt加密规则更复杂，你随机生成字符串直接传入客户端，不是直接被获取到了？jwt的header没有加密，只是进行了base64，不会存入敏感信息，本就是透明的
2.需要验证身份信息的API就引入验证信息中间件 或 继承基类嘛