我的api在执行登录时向客户端返回一个令牌,该令牌又要求客户端每次都将其放在标头中以向服务器发出请求。 我应该在哪里保存这些令牌? 如果保存在浏览器存储中,那么任何人都可以复制并登录到客户的帐户
答案 0 :(得分:3)
你是对的。将其存储在本地存储中并不安全。
JWT需要存储在HttpOnly cookie内,这是一种特殊的cookie,仅通过HTTP请求发送到服务器,并且永远无法通过浏览器中运行的JavaScript进行访问(读取或写入)。
您可以在这篇有关JWT最佳实践的文章上阅读更多相关信息。 https://logrocket.com/blog/jwt-authentication-best-practices/