持票人:指携带或持有某物的人或物。
这意味着登录一次,例如,通过角度应用程序登录,并且可以使用相同的令牌从邮递员或小提琴或任何其他网站的任何地方使用。
在Angular 4中,我们可以将令牌存储在cookie / localstorage / sessionstorage中,但可以轻松访问和使用它。
因此,如何保护我们的令牌和Web API仅在创建它的位置使用令牌。
答案 0 :(得分:0)
如果令牌仅在cookie中,请尝试将httponly放在cookie上。还可以尝试在cookie上设置samesite = strict或类似属性。这样,它只能在您的网站上使用。
注意:目前仅在最新的webkit或基于blink的浏览器中支持SameSite。