正在考虑为一个项目尝试 Rails + 设计 + React。不过好像 这种方法目前没有很好的记录/支持。理想状态是:
我的问题是:今天是否有针对此类方法的文档/指南?我能找到的最接近以这种方式处理身份验证的方法是 https://github.com/waiting-for-dev/devise-jwt,前提是将 jwt 作为标头发送,这在网络上可能不安全。
关于将 JWT 放入 cookie 的设计,我唯一能找到的是 here,它使用了 devise-jwt-cookie(一个 5 星库,需要分叉以添加缺失的功能)。
Web 应用程序的现代方法似乎是确保 JWT 在 httpOnly cookie 中以防止 xss 攻击,但是在带有 React 的 Rails 环境中实现这一点似乎非常复杂/没有得到很好的支持。我是不是把这里的方法复杂化了,还是 Rails 不应该以这种方式使用?