请教各位下将用户的 id 在 jwt 中算是敏感信息么？

程序是通过解析 jwt 中的用户 userId ，进行查询的


select * from orders where ownerid = #userId

但是看网上说不建议将敏感信息放入 jwt 中，现在我有点迷惑这个 userId 到底算不算敏感信息？

说敏感吧，毕竟有 sha256+secret key 加密。说不敏感吧，如果换成别的 userId ，就可以查询其他用户的信息。

geelaw

2022-12-02 09:57:03 +08:00

> 说敏感吧，毕竟有 sha256+secret key 加密。说不敏感吧，如果换成别的 userId ，就可以查询其他用户的信息。

我不知道从何吐槽起了。

dddd1919

2022-12-02 09:59:10 +08:00

如果 id 作为数据表主键或功能外键之类的内部功能字段，建议不要放入 jwt ，除非信息需要展示给用户，否则完全没必要放入

gbw1992

2022-12-02 09:59:53 +08:00

一般情况下都这么干
我个人觉得 userid 也是拿用户名和和密码换的，不是用户信息不算是敏感。

orangie

2022-12-02 10:02:43 +08:00

如果不放心，专门设计一个 jwtId ，也做成全局唯一，限制其用途只用来通过 JWT 查找真正的 userId?

tool2d

2022-12-02 10:10:53 +08:00

肯定不能用 userId 啊，你看看大厂的用户 oauth API ，全部都是转换成 access token 令牌访问的。

swulling

2022-12-02 10:13:10 +08:00

userid 不敏感，但是你们有接口可以允许通过 userid 查询其他人的信息，这个是错误的。没权限控制么？

Jooooooooo

2022-12-02 10:33:39 +08:00

"如果换成别的 userId ，就可以查询其他用户的信息"

这是典型的越权. 你再多搜搜

vopin

2022-12-02 10:35:00 +08:00

> 如果换成别的 userId ，就可以查询其他用户的信息
不是有签名吗？内容更换了校验是不成功的呀。

mayday526

2022-12-02 10:37:12 +08:00

@Jooooooooo 越什么权，用户手动修改 jwt 中的 userid ，这个 jwt 就不会认证通过，除非用户知道该系统 jwt 的加密方式

radiocontroller

2022-12-02 10:37:45 +08:00

如果换成别的 userId ，就可以查询其他用户的信息。

前提是加密加签要正确，才能生成正确的 jwt token ，那谁又能拿到你的私钥去做这个事呢

mayday526

2022-12-02 10:39:29 +08:00

userid 都要隐藏起来？那你们还要用 jwt 干嘛，为什么不用普通的 redis+自定义 token 的方式，jwt 用来认证一堆鬼问题：自动续期 jwt 如何解决，强制剔除或者使某个 jwt 失效又该如何解决

Jooooooooo

2022-12-02 10:41:46 +08:00

@mayday526 如你所说, 那就并非 "换成别的 userId ，就可以查询其他用户的信息".

我只是按照 op 所说描述.

lawler

2022-12-02 11:29:03 +08:00

@diegozhu #17 这句话和“他知道我的电话号码，就可以接听我的来电”一样卧槽。

更值得发掘的槽点是，11 楼之前的狗屁不通。。（哭笑

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

请教各位下 将用户的 id 在 jwt 中 算是敏感信息么？