我在另一个网络上有一个IdentityServer4实例,一个Angular SPA,一个网络服务器和一个api服务。拥有存储在客户端的JWT,用于对Web服务器调用进行身份验证并传递给api服务以进行身份验证的安全隐患是什么。 SPA从不直接调用api服务,所有内容都通过Web服务器代理。是否还有其他首选机制?
答案 0 :(得分:0)
对于存储在客户端JS应用程序中某处的访问令牌的这个长期问题,这是一个非常好的答案:https://stackoverflow.com/a/41189419/1395123