我已经在网上搜索了有关此问题的答案,但没有什么与我的设置非常相似。
所以我有一个单页应用程序和3个服务:
流程如下:
/访问该站点,将重定向到服务B的/login。https://auth0.com/docs/security/store-tokens-此链接是我发现的一个源示例,该源正在谈论SPA令牌存储位置的问题。它说,如果:
,我应该使用cookie来存储JWT。问题是我的后端有一个不同的URL,这是一个完全不同的服务,因此使用cookie不会成为解决方案,或者至少在我看来是这样。
然后说:
如果您的单页应用程序完全具有后端服务器,则应该在服务器端使用授权代码流,带有代码交换证明密钥的授权代码流(PKCE)或混合流来处理令牌。
这里的问题是他们甚至没有提到如何存储JWT以及在何处存储JWT,因此我可以从多个域访问它。
我还没有找到一种干净的方法来将该JWT保存在用户的浏览器中,并在我正在执行的每个请求中将其发送到后端。
我需要的解决方案是以安全的方式将JWT保存在用户的浏览器中,允许我将其发送到所需的任何后端服务。
感谢您的阅读和提供帮助!
Authorization标头,以便查看它的库继续工作。