我应该在哪里存储我的JSON Web令牌用于'非单页'前端应用程序

时间:2016-08-24 06:47:49

标签: javascript rest security frontend jwt

我最近使用JWT作为auth方法使用hapiJS构建了一个简单的REST API。 我现在想要构建一个纯ES6前端,但它不一定是SPA(不只有一个.html文件)。

我的问题: 登录后存储JWT的最佳方法是什么?本地存储,Cookie?

1 个答案:

答案 0 :(得分:2)

如果将其存储在cookie中,您将容易受到CSRF攻击,因为浏览器会自动发送每个请求的令牌。有关这类攻击的更多信息,请参阅:

https://en.wikipedia.org/wiki/Cross-site_request_forgery

我建议将其存储在 localstorage 中,然后通过请求的头部发送令牌。 note :您的浏览器不会自动为您执行此操作!

示例:

x-access-token: Bearer -jwt goes here-