我正在使用AuthorizationServerConfigurerAdapter来配置我成功创建JWT令牌的OAuth2密码流。我在我的Spring REST后端中使用我的OAuth2并将其与我的Angular 2前端配对。
我已经阅读了几篇文章(例如https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-web-storage),其中人们将JWT放入一个仅返回Angular前端的HTTP中,以防止XSS脚本编写,我很感兴趣。我很困惑如何整合或拦截我返回的jwt并将其放在仅限http的cookie中并将其返回。
任何建议?
约翰
答案 0 :(得分:0)
我根本不建议使用密码流,尤其是在浏览器客户端中。 OAuth2的设计使您可以避免这种情况,从而避免将用户凭据提供给不受信任的代理。如果您放弃密码授予,您会发现会话cookie与您的JWT cookie提议一样安全,并且它开箱即用,在客户端或服务器上没有任何有趣的业务。