我有一个带有Web应用程序和REST API
的自由服务器。
两者均由openid
上的Liberty server
连接保护。 api接受访问令牌进行身份验证。该Web应用程序并不完全是前端,因此我需要自由才能进行身份验证。
我当时正在考虑将访问令牌存储在cookie中,并让前端读取cookie并将该令牌添加到任何api调用中。有更好的选择吗?
对于JavaScript可读的Cookie,我需要注意XSS
。
答案 0 :(得分:-1)
您可以根据需要使用本地存储或会话存储。如果您只想为该会话存储它,则可以使用会话存储,其中当您要长期存储时使用本地存储。