我有一个用例,想咨询。假设我们有一个普通的非单页。我们希望真正使用JWT,同时不使用cookie - 不再使用cookie。将动作附加到每个请求是一个好主意吗?用户单击链接并触发js事件,将标记附加在标题中。
我在问,因为我越来越多地看到单页应用程序被放置,嵌入,混合成经典的非单页应用程序。 JWT确实有很大的潜力,但在我看来,混合cookie和JWT不是很干净且容易出错。我们再一次必须处理CSRF所以...在JWT中有一个CSRF令牌,在cookie中有一个JWT。
上述解决方案让我们只处理JWF令牌 - 因此这简化了安全战。如果某个人没有登录,则不会追加JWT。
但我是否遗漏了这个概念中的某些内容,或者这是否可靠?
答案 0 :(得分:0)
抱歉,浏览器不允许更改标头。