仅针对网页退出并用 JWT 替换 cookie
Resignation and replacing cookies with JWT only for webpage
我有一个use-case想法可以咨询。假设我们有一个普通的 non-single 页面。我们希望真正使用 JWT,同时不使用 cookies——放弃使用任何 cookies。动态地将承载附加到每个请求是个好主意吗?用户单击 link 并触发一个 js 事件,该事件在 headers.
中附加不记名令牌
我问是因为我越来越多地看到单页应用程序被放置、嵌入、纠缠在经典的 non-single 页面应用程序中。 JWT 确实有很大的潜力,但在我看来混合 cookies 和 JWT 不是很干净而且容易出错。我们必须再次处理 CSRF,所以……在 JWT 中有一个 CSRF 令牌,在 cookie 中有 JWT。
上述解决方案让我们只处理 JWF 代币——因此这简化了安全战。如果某个不是 logged-in,则不会附加 JWT。
但是我是否遗漏了这个概念中的某些内容或者这个概念是否可靠?
抱歉,浏览器不允许 header 更改。
我有一个use-case想法可以咨询。假设我们有一个普通的 non-single 页面。我们希望真正使用 JWT,同时不使用 cookies——放弃使用任何 cookies。动态地将承载附加到每个请求是个好主意吗?用户单击 link 并触发一个 js 事件,该事件在 headers.
中附加不记名令牌我问是因为我越来越多地看到单页应用程序被放置、嵌入、纠缠在经典的 non-single 页面应用程序中。 JWT 确实有很大的潜力,但在我看来混合 cookies 和 JWT 不是很干净而且容易出错。我们必须再次处理 CSRF,所以……在 JWT 中有一个 CSRF 令牌,在 cookie 中有 JWT。
上述解决方案让我们只处理 JWF 代币——因此这简化了安全战。如果某个不是 logged-in,则不会附加 JWT。
但是我是否遗漏了这个概念中的某些内容或者这个概念是否可靠?
抱歉,浏览器不允许 header 更改。