我的api在进行登录时向客户端返回一个令牌,然后每次都要求客户端将其放入头中以向服务器发出请求。我应该在哪里保存这些令牌?如果保存在浏览器存储中,则任何人都可以复制并登录到客户的帐户
你是对的。将其存储在本地存储中是不安全的。
JWT需要存储在HttpOnly cookie中,这是一种特殊类型的cookie,只能在HTTP请求中发送到服务器,并且它永远不会从浏览器中运行的JavaScript访问(包括读取或写入)。
您可以在本文中了解有关JWT最佳实践的更多信息。 https://logrocket.com/blog/jwt-authentication-best-practices/