在HTTP数据包中处理JWT令牌的标准和最安全的方法是什么?
是否正确,JWT不应该被设置为cookie,因为cookie使会话劫持变得微不足道,因为浏览器自动包含它,因此不会通过普通会话ID cookie向JWT令牌提供任何其他值?
那么,JWT令牌是作为标题还是作为JSON属性包含在内,还是这是一个实践问题?
答案 0 :(得分:0)
Cookie和授权标题都有利弊。
Cookie允许您阻止javascript访问这些值,但如果您只在授权标题中允许,则不需要任何额外的CSRF保护。
Cookie还允许您轻松保护非{j}个请求,例如<img标记。
所以没有正确的答案,也没有标准。你需要弄清楚什么对你很重要。
答案 1 :(得分:-1)