标签: javascript express session authentication jwt
我有使用会话和数据库的非静态API。 我最近研究了使用jwt进行身份验证的Restful API。我认为这更容易实现。需要身份验证的路由不能成为csrf攻击的目标,因为它们包含标头。另一件事是不在数据库中存储会话数据。那么我可以在非静态API上实现jwt身份验证吗?如何?
我意识到我不能仅使用表格发送标头,因此我可能会以URL(对于GET)或body(对于POST)发送令牌?这种方法有问题吗?
感谢您的任何建议:)