如何形成来自 Flask python 服务器的响应,该响应将在响应中包含不记名令牌。更准确地说,我希望以某种方式将 JWT 令牌从 Flask python 服务器安全地传播回客户端(角度页面)。我可以在 GET 重定向中以查询字符串的形式返回它。将 JWT 访问令牌返回给客户端还有哪些其他可能性?我尝试设置响应表单 python,并在授权字段中设置 jwt 令牌,但没有任何效果。这是我试过的:
1.
r = Response(headers={
"Authorization": "bearer jwtcntent",
"Access-Control-Allow-Origin": "*",
},
is_redirect=True,
url="https://localhost:5000/callback",
)
return r
r = redirect("http://localhost:5000/callback")
r.headers = {"authorization": "bearer jwtcntent"}
return r
r = Response(headers={
"Authorization": "Bearer jwtcntent",
"Access-Control-Allow-Origin": "*",
},
allow_redirects=True,
url="https://localhost:5000/callback",
)
return r
有什么建议吗?
答案 0 :(得分:1)
您可以将其存储在 httponly cookie 中,但如果您这样做,您需要确保处理 CSRF 攻击。 Flask-JWT-Extended 内置了对此的支持,您可能会发现它很有用,无论是作为解决方案还是作为您最终要做的任何事情的参考:
https://flask-jwt-extended.readthedocs.io/en/stable/token_locations/#cookies
您也可以将令牌作为 JSON 正文的一部分发回,然后将其存储在本地/会话存储中,这可能是最常见的模式。
答案 1 :(得分:1)
您是否能够在您的授权服务器中实施常规的 OAuth 流程? OAuth 流程是标准化的,并使用安全的方式将访问令牌返回给客户端。
我不建议使用 Authorization 标头返回响应。这个头是一个请求头,它在响应中没有意义。如果您确实需要通过标头执行此操作,您可以添加 Access-Control-Expose-Headers 标头,让您的客户端从响应中读取 Authorization 标头。