我们已经开始针对 .NET Core Web API 后端开发 Angular 单页应用程序。我们使用 AWS Amplify 和 Cognito 设置了登录屏幕,后端采用 JWT 身份验证方案。
从那时起,我们发现了两件事:
后者是一个特殊的问题,因为我们不太可能通过渗透测试。
我们正在考虑我们的选择,并且想到的是,在登录后立即将 JWT 令牌交换为旧式会话 cookie,避免将令牌存储在客户端上的需要。是的,也许这首先违背了使用 JWT 的目的,但它确实允许我们继续使用 Cognito 作为身份存储。
经过一番搜索,我还没有看到任何人这样做的参考。这是一个合理的策略,还是我忽略了什么?