所以我不确定SPA上的身份验证的实用性,因为我试图习惯我的新选择。
我将提供Node / Express应用程序,所有API路由都在/api上,并且前端在/上提供(所有路由将提供index.html,然后是客户端-side routing将负责其余部分。所以我使用Passport库设置后端身份验证,效果很好。但是如何保持服务器和客户端会话同步?以及保护安全性。
如果我使用凭据向/api/login发出POST请求,我将在客户响应中返回什么?会话设置在哪里?
我的前端是Vue,所以我假设我只是将用户数据(如果凭据正确)传递给实例并拥有用户对象。但我猜我需要存储某种令牌? (JWT?)
如果有人能够了解这种客户端 - 服务器架构的工作原理,那就太棒了。
干杯。
答案 0 :(得分:0)
每当用户使用凭据登录时,您都可以发送JWT身份验证令牌,然后将令牌存储为Cookie /本地存储。
然后在每个请求中将令牌作为身份验证令牌发送为请求标头/数据以验证用户。