Storing Tokens in the browser
问题=]
- 根据我的研究,为了防止CSRF攻击,将Web令牌存储在本地存储中似乎是使用cookie的首选方法(我知道本地存储很容易受到XSS攻击,尽管看起来比CSRF易于预防)。话虽这么说,但我无法找到有关使用本地存储这种方式的任何相关指南...
- 我正在寻找一些帮助,以了解以下工作原理...
- 将服务器签名的令牌传递到浏览器的本地存储的首选方法/工作流程是什么?
-
浏览器存储令牌后,如何使用该存储的令牌。
-
我是否需要停止通过JS表单的默认提交,然后在每个请求中都发送带有
authorization: Bearer <token> 标头的AJAX请求? - 当用户单击指向该用户拥有的资源的链接时,如何将该令牌发送到服务器以授予对受保护资源的访问权限?
-
我是否需要停止通过JS表单的默认提交,然后在每个请求中都发送带有
工具
-
前端
- HTML5(从车把编译)
- JS
- CSS(从SASS编译)
-
后端
- nodeJS(使用Express)
注意:我希望以后可以使用代码示例来编辑此帖子(一旦我掌握了这个笑话),将来可以帮助其他像我这样困惑的人
首选方法是返回带有来自/ users / login请求的成功响应的令牌(无论您希望使用的是标头还是正文)。然后将其放入本地存储。
最重要的是,没有HTTPS不能使用JWT。否则,您最终将传递不受保护的凭据。
获取令牌后,您应该手动将其作为标头添加到每个请求中。使用一些js ajaxpackage器可以简化此任务。
据我所知,没有方法发送带有