我正在尝试在angular4 app中实现jwt(服务器端是codeigniter)。可以为每个请求轻松创建标头和有效负载。但是有人可以帮我弄清楚如何/在哪里保留用于从客户端生成签名的私钥。如果我将它保存在任何js文件中,客户端很容易看到它,因此他们可以在没有登录的情况下开始调用API。
我认为另一种选择是每次用户登录时都可以生成随机密钥或令牌,对于所有后续请求,可以使用此令牌生成签名。但是,我想在每5分钟后刷新一次令牌,这意味着在2'几乎'同时发出的请求中,可能存在竞争条件导致一个请求使另一个请求的签名到期,从而导致用户退出
我不是在寻找确切的代码,而只是关于推荐实现的一些想法。