我正在考虑开发Dot Net Core REST API,以处理在Angular中构建的单页应用程序的后端数据库相关操作。 JWT(JSON Web令牌)看起来像在REST API中处理授权的方式。问题是,我不希望用户每次启动Web浏览器时都必须输入其凭据。当然,我可以将JWT存储在localStorage中,但这将带来安全隐患。
那么...将JWT身份验证与将JWT存储在cookie中以保持不同浏览器会话之间的用户会话是一个好主意吗?我知道这对于为每个HTTP请求发送cookie来说是非常低效的,虽然我只希望将其作为JWT的安全本地存储,但是我没有找到一种更好的方法来为消耗SPA的SPA实现会话持久性REST API。