我正在使用节点js来验证用户并发送回JWT令牌。我在前端使用Angular 6.0。我的问题是在客户端将此令牌存储在哪里?以及如果我在客户端使用本地存储,如何保护此令牌?
排序流程:
1,使用httpOnly在cookie上存储refresh_token(意味着您需要一个后端服务器来存储它)
2,每次客户访问网站(甚至重新加载等)时,您都需要从后端获取access_token并将其返回到前端。所以这个东西可以防止XSS攻击,但是CSRF是另一回事。