实现无状态身份验证的正确方法是什么?

时间:2015-08-31 07:16:10

标签: reactjs local-storage jwt stateless-session

我是单页应用程序的新手。对我来说一个重要的问题是如何保护我的应用程序。我在前端使用React,在后端使用+ mongodb。

我是旧网站,我们使用会话进行授权。如果会话超时,我们可以让用户重定向到登录页面。如果用户继续在我们的网站上执行某些操作,他的会话将永远不会过期。

但是现在,我正在使用JWT进行授权。令牌可能在1分钟内过期,之后,用户必须再次登录。

根据我的理解,一种方法是“在每个请求/响应上重新发送令牌,然后每个请求/响应将有一个新令牌”。但我认为这不是如何使用JWT的正确方法。

所以我的问题是:

  1. 如果用户仍然使用我们的网络应用程序,那么避免用户再次登录的正确方法是什么?
  2. 我们是否需要将令牌存储在数据库中(mongodb)?
  3. 如果我将令牌存储在localStorage中,则每个人都可以从浏览器借用它并将令牌复制到其客户端。怎么避免呢?

0 个答案:

没有答案