¿Es seguro manipularlo con el token de autenticación dentro del javascript del lado del cliente a través de https? Quiero pasar ese token a websocket después de iniciar sesión.
$.getJSON(
$SCRIPT_ROOT + '/jscript_get_auth_token',
{},
function(data)
{
// Extract token from data then manipulate .. pass to function etc.
token = data.result
});
el título de tu pregunta es diferente a la pregunta en tu publicación.
es seguro obtener el token a través de JavaScript desde el servidor, esto depende del método de validación del lado del servidor en su lugar. asumiendo que estos están bien
manipular el token en JavaScript y luego enviarlo a un socket web debería estar bien siempre y cuando la validación del lado del servidor sea buena.
Si solo desea leer datos adicionales del token (como JWT), no es una amenaza para la seguridad. Ya que esta parte del token ni siquiera está encriptada. Si desea exponer algunas claves secretas codificándolas u obteniéndolas desde un servidor web para cambiar y crear un nuevo token, eso podría ser un tema de XSS, etc., por ejemplo.
Lea otras preguntas en las etiquetas web-application authentication javascript jquery