我正在构建一个React / NextJS Web应用程序,该应用程序使用一个无头Drupal API和另一个NodeJS API。
要向NodeJS API发出请求,它需要一个身份验证令牌,该令牌是通过将两个唯一的用户值和一个常量值(每个使用者的变化,但我只建立一个对我来说如此恒定的使用者)传递给相关端点而生成的,返回访问和刷新令牌。
安全处理此问题的最佳方法是什么?仅仅从客户端发出请求就可以使其在开发工具中可见,并且某些请求在页面加载时将无法由NextJS发出。
答案 0 :(得分:0)
如果您有权访问后端:
根本不处理前端的身份验证令牌。使用后端通过选项httpOnly设置cookie(这将禁止从javascript端进行访问),并使用较新的someOrigin(仅最新的浏览器支持)来防止CSRF。
要获得对该主题的良好介绍,您应该阅读以下文章:https://medium.com/@jcbaey/authentication-in-spa-reactjs-and-vuejs-the-right-way-e4a9ac5cd9a3