我目前有2个由nginx服务的静态和公共Web应用程序(=完全没有服务器):
app_auth app_product 除非用户成功通过app_product登录到我称为JS firebase auth的用户,否则我想让app_auth完全安全,私有且不可访问(包括webapp源,图像,js,css) api(无服务器)。
所以我想我必须:
app_product应用提供服务,我将在该中间件中针对每个请求(index.html,css,js等)检查用户Firebase idToken是否有效(每次都调用firebase api ...)app_product发送的每个HTTP请求发送idToken的方法=> cookie似乎是简单的方法问题:是否可以安全地创建浏览器端 cookie,并在其中存储IdToken以便将其传递给每个HTTP请求? 我知道服务器端创建的cookie是非常安全的,但是由于当前没有服务器,因此将需要对体系结构进行太多更改。
您看到我的问题的任何其他解决方案吗? ps:我不能使用服务人员在每个http请求上添加idToken。
谢谢