通过基于 API 的方法将 OAuth 令牌从后端传输到前端的最佳方式是什么?

问题描述 投票:0回答:1

这是我的步骤:

  1. 从前端,我将用户重定向到 API 的端点,然后将他们重定向到相应的 Google/Facebook/Github 登录页面。
  2. 用户登录社交页面后,会触发我后端的回调API。
  3. 现在在后端调用回调后,我可以访问用户信息,例如电子邮件、图片和其他详细信息。
  4. 使用此信息,我使用 JWT 生成令牌。
  5. 最后,我使用 
    res.redirect(FRONT_END_URL)
    将用户重定向回我的前端。

我的问题是,如何安全地将访问令牌传输到前端?这样我就可以将它存储在前端本地存储中

javascript oauth passport.js
1个回答
0
投票

将 JWT 令牌保存在本地存储中并不安全,因为客户端可以访问该令牌(XSS 攻击)。

但为了安全起见,您可以使用 cookie 和 CSRF 令牌。我的意思是,将您的 JWT 令牌保存在 cookie 中,并在标头中使用 CSRF 令牌以确保安全。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.