在哪里存储访问令牌以供前端使用

时间:2019-02-17 17:20:08

标签: javascript java access-token openid-connect websphere-liberty

我有一个带有Web应用程序和REST API的自由服务器。

两者均由openid上的Liberty server连接保护。 api接受访问令牌进行身份验证。该Web应用程序并不完全是前端,因此我需要自由才能进行身份验证。

我当时正在考虑将访问令牌存储在cookie中,并让前端读取cookie并将该令牌添加到任何api调用中。有更好的选择吗?

对于JavaScript可读的Cookie,我需要注意XSS

1 个答案:

答案 0 :(得分:-1)

您可以根据需要使用本地存储或会话存储。如果您只想为该会话存储它,则可以使用会话存储,其中当您要长期存储时使用本地存储。