res.header(x-auth,JWTtoken)和res.cookies(JWTtoken)之间的区别?

时间:2018-08-23 14:30:53

标签: javascript http authentication cookies jwt

我在所有博客和文章中看到的是,有两种方式处理JWTtokens,将其放入受localStorage攻击的XSS或放入{{1} }并设置CookieshttpOnly标志来避免secure

使用localStorage 对于对服务器的每个请求,您都从XSS中提取token并将其手动附加到localStorage

使用Cookies 它是在服务器端处理的,因为Authorization : Bearer <Token>客户端将无法访问它,您要做的是JS,并且它将与res.cookies(token)一样,为以后的每次调用自动发送< / p>

但是最近我看到一些开发人员只是使用localStoragetoken放在标题中。

  1. 这是处理JWT的第三种方法吗?
  2. 是否会为服务器的每个后续请求(如cookie)自动设置X-Auth标头,还是必须手动设置(如localStorage)?
  3. JS是否无法访问X-Auth标头中的令牌并且像cookie一样安全?
  4. 以自己的方式执行res.header('X-auth')和res.cookie(token)有什么区别?
  5. 最后,如果我的API被ReactJS Web应用程序和react-native移动应用程序占用,最好的方法是什么?

谢谢

0 个答案:

没有答案