我应该在哪里保存客户的JWT以备将来的请求?

问题描述 投票:1回答:1

我的api在进行登录时向客户端返回一个令牌,然后每次都要求客户端将其放入头中以向服务器发出请求。我应该在哪里保存这些令牌?如果保存在浏览器存储中,则任何人都可以复制并登录到客户的帐户

node.js security jwt token bearer-token
1个回答
3
投票

你是对的。将其存储在本地存储中是不安全的。

JWT需要存储在HttpOnly cookie中,这是一种特殊类型的cookie,只能在HTTP请求中发送到服务器,并且它永远不会从浏览器中运行的JavaScript访问(包括读取或写入)。

您可以在本文中了解有关JWT最佳实践的更多信息。 https://logrocket.com/blog/jwt-authentication-best-practices/

© www.soinside.com 2019 - 2024. All rights reserved.