在不使用本地存储的情况下在Angular(客户端)中实现JWT身份验证的最佳方法?

时间:2019-03-05 12:53:13

标签: angular authentication jwt

我试图在客户端使用JWT令牌进行角度认证。除了本地存储,我看不到用于存储jwt令牌的正确实现。

2 个答案:

答案 0 :(得分:0)

首先,必须记住,如果您正在使用SPA并与纯无状态API通信,或者您正在向多个后端发出HTTP请求,或者移动应用中也使用了API,则它需要Authorization Bearer xxx“标头,可以方便地将JWT放在localStorage中。

否则,当用户登录到您的网站时,为其创建会话标识符并将其存储在经过签名的cookie中,查找“如何使用cookie创建用户会话”。

答案 1 :(得分:0)

只需使用localStorage。无论如何,令牌都存储在客户端,因此无论您如何存储令牌,用户都将能够访问令牌(假设这是您要防止的事情)。 Localstorage快速,简单且易于使用,因此没有理由不使用它。如果您将JWT存储在cookie中,则用户仍可以使用其浏览器中的开发人员工具访问该cookie,以访问它。

Security through obscurity is not security