我正在使用 JWT 进行用户登录/注册,但我对发送/接收 token 有疑问。
目前,我将 token 作为属性存储在服务器中启动的 JSON 对象中,然后将其发送到前端。客户端收到对象后,会将 token 存储为 cookie。从客户端到服务器的每个 POST 请求的正文中都会有一个 token 属性,来自服务器的响应也将具有该 token 作为属性。
这样可以吗,还是我应该将 token 作为请求/响应中的 header 发送?
使用:React (+DOM)、JavaScript、Express、Node.js
最佳答案
将 JWT token 存储在 Cookie 中就足够了。您不需要在请求正文中发送到 token 或在响应中返回。
良好实践
将 JWT 存储在 cookie 中,模式为
http-only
和is-secure: true
,这样 JavaScript 就看不到此 token ,只能使用 https 安全层传输 token 。在每个ajax请求中添加自定义请求 header ,并在后端验证此 header 以避免crsf攻击。
关于javascript - 在哪里发送 JWT token ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/48000331/