我最近使用jWT作为auth方法使用hapiJS构建了一个简单的REST API。我现在想构建一个纯ES6前端,但是它不必是SPA(将不止一个.html文件)。
我的问题:登录后存储JWT的最佳方法是什么。本地存储,Cookie?
如果将其存储在cookie中,您将容易受到CSRF攻击,因为浏览器将在每次请求时自动发送令牌。请参阅有关这些类型的攻击的更多信息:
https://zh.wikipedia.org/wiki/跨站点_请求_伪造
我建议将其存储在本地存储中,然后通过请求的头部发送令牌。注意:您的浏览器不会自动为您执行此操作!
例子:
x-access-token: Bearer -jwt goes here-
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句