我试图使用php(silex)和angularjs构建一个rest api。我有后端的问题,因为它不是我的好方面,我的前端开发所以角度很容易和我可以理解,但不像PHP。我不知道我的令牌身份验证的安全性。我想到了jwt-php,但这并没有解决我的问题,因为我不知道我应该在哪里存储我的jwt令牌。在cookies,session或db中?或者在哪里?
我想过db,但是它会引发下一个问题。也就是说,当传递和登录正确时发送到表(令牌)我们生成jwt令牌和id用户。并且每个请求来自角度http拦截器。在每个请求之前,我应该检查标头令牌和带有id用户的数据库令牌到auth。如果正确,请接下来,否则为401标题。这是我的想法。
但是我应该存储全局id登录用户以识别令牌(所以哪里,cookies?) 但是当我们关闭浏览器这个令牌时我们仍然在db中传递它,这是我的第二个问题,我该怎么做。
存储,使用令牌的最佳实践是什么?我理解来自客户的令牌,但我不知道我应该用后端做什么。
感谢。