我使用 NextAuth 登录使用 Facebook 或 Twitter 的用户。这工作正常,我获得了 AccessToken 以及基本用户信息。在服务器上,我使用登录用户的 socialId 映射到数据库中相应的本地用户。 Azure Functions 有一个名为 EasyAuth 的社交登录功能,但我不确定是否需要它,因为我使用的是 NextAuth。我想到了两种方法:
将信息发送到服务器时,什么是安全恶习的好做法?
答案 0 :(得分:1)
客户端不应该知道谁当前登录。在客户端,您只需保存访问令牌,然后在每次请求时将其发送到服务器。服务器将根据访问令牌确定是谁发出的请求并返回相应的响应。