我正在开发一个有3个应用程序的平台,可能会是4个。
第一个是客户网站,使用phalconPHP制作,第二个是客户内联网,他可以管理他的网站,有管理员,我可以在那里创建新网站和管理我的客户。
最后一个是API,一切都应该可以通过API访问。
我最初的计划是使用JWT作为授权方法,我有些疑惑。
1.-一旦创建了JWT令牌,我需要将它存储在客户端的某个位置,以便我可以在每个新请求上发送,我不知道存储的位置以便PHP可以访问它和Javascript也可以访问它,以便我可以用令牌发出AJAX请求。
我需要一种方法来以安全的方式实现这一点,HTTPS将始终在我的应用中使用,但有一个问题,我不确定如何解决。
我再说一遍,JWT令牌应该是JS和PHP都可以访问的。我该如何以安全的方式做到这一点?
另外,我正在考虑将PHP_session_id添加到JWT有效负载中,并添加自动续订,这意味着令牌仅对" user"这使登录。这种方法是否安全?
希望你能帮助我。
由于