我有一个NodeJS Express应用程序,可通过客户端凭据授权向Auth服务器进行身份验证。我收到的令牌用于从API加载数据。
在整个应用程序中存储令牌的最佳做法是什么?
请注意,JWT不是特定于用户的,因为我的Express App是客户端。
答案 0 :(得分:2)
我会尽量避免持久保存返回的令牌并仅将其保留在内存中,因为客户端凭据授权可让您相对轻松地获取新令牌,而无需用户交互。
但如果这有问题,那么我会说:在客户端凭据旁边,因为客户端凭据至少与JWT令牌一样敏感。
答案 1 :(得分:2)
我会将它存储在内存中。通常我会编写一个单例模块来处理它。
auth.js:
class Auth {
getToken() {
// check if we has token already and that token isn't expired
if (this.token && !isExpired(this.token)) {
return Promise.resolve(this.token);
}
// if not we call API for the new token then return the new token
return asyncCallApiForToken();
}
}
module.exports = new Auth();
main.js
const auth = require('./auth.js)
auth.getToken()
.then(token => {
// we got token here
}