如果我使用基于令牌的身份验证，我应该如何加载图像

有三种方法可以解决这个问题，最好的方法是使用带签名的URL

第一种方法简单地创建一个没有身份验证（匿名访问）的路由，该路由带有一个签名哈希参数，该参数指示是否可以加载资源。

<img src="http://server-domain.example/path/to/image?guid=f6fc84c9f21c24907d6bee6eec38cabab5fa9a7be8c4a7827fe9e56f2">

当服务器收到请求时，如果尚未达到到期时间，则必须验证guid，当然，还要检查guid是否具有有效签名。

Dropbox、S3、CDN提供商等多个文件/文档服务器都使用这种方法。

在某些公司中查看该技术。

> < Li > < p > https://docs . AWS . Amazon . com/Amazon cloud front/latest/developer guide/private-content-signed-URLs . html # private-content-overview-chopping-duration

<代码>https://client.cdn77.example/support/knowledgebase/cdn-resource/how-do-i-set-up-signed-urls

安全性:

< Li > < code > guid 不能只是映像/用户的UUID，因为这不提供任何保护。 < Li > < code > guid 不能与您用于身份验证的令牌相同(例如，您不能使用auth-JWT令牌)，因为用户可以共享链接，并且用户将共享其令牌(另请参见(2))。

如上所述：＜code＞guid＜/code＞应该具有服务器端验证机制（日期/签名/…），并且不应该提供比“访问请求的文件”更多的权限

第二种方法是通过带有图像URL的querystring传递令牌。

• 不建议使用此方法，因为它清楚地公开了 URL，并且许多服务器有时会写入和公开所访问 URL 的公共日志。不好的通知是，正常暴露的JWT用户可以控制许多功能进一步的图像加载。

<img src="http://server-domain.example/path/to/image?jwt=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c">

当服务器收到请求时，您必须通过查询字符串验证令牌并使用内容进行响应。

安全说明：比 （1） 更糟糕 - 因为现在身份验证信息（JWT 身份验证）暴露在 URL 中，可以由服务器缓存/记录或由中间的任何服务器访问，或者用户可以简单地与同事共享“图像链接”。

但是，如果 JWT 不是访问令牌，而是专门为以 JWT 形式访问该特定文件而生成的一次性令牌，则它提供与 （1） 相同的安全级别。

第三种方法创建一个经过身份验证的cookie来验证图像的访问。

• 不推荐此方法，因为它超出了API模式（一般基于webapi/令牌的身份验证）。

当服务器收到请求时，您需要验证验证cookie是否有效。

安全注意事项：如果您可以为您的Cookie和XSS以及CSRF提供安全保护，那么这就不是一个解决方案。但请记住：cookies是由浏览器在每次请求时自动发送的。关于可能的威胁和解决方案的更多信息：在浏览器中存储JWT的位置？如何防范CSRF？