我最近了解到,将JWT令牌存储在localStorage中被认为是一种不好的做法,您可以使用httpOnly标志在服务器端轻松实现set-cookie标头,以防止XSS,但与此同时,客户端javascript具有不知道用户以前的操作(例如成功的登录),如何在不使用localStorage的情况下实现自动登录功能?将JWT令牌绑定到特定的IP地址?
我们有一个基于https的NGINX服务器,该服务器提供静态React SPA文件,并且还与Express后端进行对话。 我对此一无所知。
答案 0 :(得分:0)
一旦您打算实施JWT,我将推荐一个简单的node.js应用程序,该应用程序将处理=> Securing Node.js RESTful APIs with JSON Web Tokens