我正在使用Vue.js创建一个SPA应用程序(将存储在远程服务器上),我对我应该使用的内容感到困惑。
起初我考虑过使用Passport,但我不了解如何使用Passport为第一方制作API。另外,我不明白,如果我需要将client-secret和client-id发送到服务器,如何使其非常安全。
然后我阅读了有关JWT的更多内容,但我的令牌没有范围,也没有刷新令牌。这意味着如果有人从localStorage中窃取了令牌,那么他将永久访问该用户。
还有一个关于令牌访问和API的问题。当它取决于它的重要性时,我阅读了很多关于不同令牌到期的内容。这意味着更改密码的令牌必须在5分钟内有效,但读取某些信息的令牌有效期为6个月。这是对的吗?如何做到这一点?
关于JWT或Passport - 我应该使用什么?
答案 0 :(得分:0)
如果从客户端访问api目录(使用angular / react / vue js ..),我建议你使用Passport。在护照中有一个选项呼叫Password Grant Tokens,因此用户必须输入用户凭证并且它将生成一个令牌(您可以调整令牌的生命周期),当它到期时,您可以{{3}它。是的如果有人偷了您的令牌,他们就可以访问您的数据
如果您想了解更多内容,请阅读此内容: refresh