我应该在哪里保存客户的 JWT 以备将来请求?
Where should I save client's JWT for future requests?
我的 api returns 客户端在登录时的令牌,这又要求客户端每次向服务器发出请求时将其放入 header。
我应该在哪里保存这些令牌?
如果保存在浏览器存储中,那么任何人都可以复制并登录到客户的帐户
你是对的。将其存储在本地存储中是不安全的。
JWT 需要存储在 HttpOnly cookie 中,这是一种特殊的 cookie,仅在 HTTP 请求中发送到服务器,并且永远无法从 JavaScript 运行 在浏览器中。
您可以在这篇关于 JWT 最佳实践的文章中阅读更多相关信息。 https://logrocket.com/blog/jwt-authentication-best-practices/
我的 api returns 客户端在登录时的令牌,这又要求客户端每次向服务器发出请求时将其放入 header。 我应该在哪里保存这些令牌? 如果保存在浏览器存储中,那么任何人都可以复制并登录到客户的帐户
你是对的。将其存储在本地存储中是不安全的。
JWT 需要存储在 HttpOnly cookie 中,这是一种特殊的 cookie,仅在 HTTP 请求中发送到服务器,并且永远无法从 JavaScript 运行 在浏览器中。
您可以在这篇关于 JWT 最佳实践的文章中阅读更多相关信息。 https://logrocket.com/blog/jwt-authentication-best-practices/