用纯文本将用户id发送到前端安全吗？

Question

我有一个MongoDB的特快应用程序。它为每个用户文档创建一个用户id。这个用户id也在jwt中被编码，这为新的开发人员创建了一个错觉，即用户id不能以纯文本形式发送到前端。

有人能解释一下向前端发送用户id是如何产生安全问题的吗？据我所知，没有我的秘密字符串，黑客就不能用它来创建jwt。我的特快应用程序都不会监听后端任何地方的用户id。但它对前端至关重要，因为它正被用作卖方Id。

Answer 1

我不认为这是安全风险，只是在编写服务器代码时更容易管理。如果您已经在通过JWT处理登录身份验证，并且客户端代码没有理由关心用户ID，但是服务器确实需要知道它，那么您可以将所有内容嵌入JWT中，而不是让JWT用于身份验证信息，并通过其他方法单独管理用户ID的通信。