我在所有博客和文章中看到的是,有两种方式处理JWTtokens
,将其放入受localStorage
攻击的XSS
或放入{{1} }并设置Cookies
和httpOnly
标志来避免secure
。
使用localStorage
对于对服务器的每个请求,您都从XSS
中提取token
并将其手动附加到localStorage
。
使用Cookies
它是在服务器端处理的,因为Authorization : Bearer <Token>
客户端将无法访问它,您要做的是JS
,并且它将与res.cookies(token)
一样,为以后的每次调用自动发送< / p>
但是最近我看到一些开发人员只是使用localStorage
将token
放在标题中。
谢谢