我最近使用JWT作为auth方法使用hapiJS构建了一个简单的REST API。 我现在想要构建一个纯ES6前端,但它不一定是SPA(不只有一个.html文件)。
我的问题: 登录后存储JWT的最佳方法是什么?本地存储,Cookie?
答案 0 :(得分:2)
如果将其存储在cookie中,您将容易受到CSRF攻击,因为浏览器会自动发送每个请求的令牌。有关这类攻击的更多信息,请参阅:
https://en.wikipedia.org/wiki/Cross-site_request_forgery
我建议将其存储在 localstorage 中,然后通过请求的头部发送令牌。 note :您的浏览器不会自动为您执行此操作!
示例:
x-access-token: Bearer -jwt goes here-