最近做一个简单的网站,需要登录功能,打算使用 JWT。
昨天看了好多相关资料,对其数据结构大致了解了一下。 有个网站说 JWT 存储在浏览器本地,有 localstorage 和 cookie 两种方式,cookie 如果设置 http-only 更加安全。
那我就打算采用 cookie + http-only 了。
问题是由于某种原因,我的网站是完全前后端分离的,这里指的是一个模板都不能渲染,全部 jquery 异步接口。
现在问题是: 我如果登录首页,这是个静态页面,只有 js 能干活。而 cookie 又是 http-only 的,我怎么知道:
还往各位不吝赐教
 |
1
vx2e Jan 28, 2018
前后端分离 通信异步请求数据的时候把 cookie 传给服务端就可以了啊 具体怎么带 cookie 资料很多 搜一下就有
|
 |
2
htfy96 Jan 28, 2018  1
1. 请求一下 GET /user/me
2. 定期 renew token |
 |
3
hcymk2 Jan 28, 2018
JWT 用 cookie 又是 http-only 意义就不大了, 因为 JWT 不只是一个 token,里面还含有其他信息,用来本地缓存。
|
 |
4
hanzichi Jan 28, 2018
说一下我的理解,可能有误
token 主要是为了防 csrf 攻击,如果是 cookie 存的话,不是防不了了么。。 |
 |
5
sunjourney Jan 28, 2018 1
http-only,你的 cookie 只能是提供给后端做校验了。可以 request http://api.xx.com/auth 拿到我是谁,权限有啥,前端就不直接碰 JWT 了。
|
 |
6
fqwerl Jan 28, 2018 via Android
通常使用 JWT 的目的之一就是不想使用 cookie/session 机制(安全问题,后端扩展问题等),cookie 越来越不受欢迎了,最好还是把 jwt 放内存或者 local storage 里
|
 |
7
whx20202 OP @fqwerl 有些教程说,JWT 的目的有两个:
1. 如果后端是多个 web 服务器,传统的 session 就不好使了,得加一层 redis,所以采用 JWT 2. 违背 RESTful 风格 第一个我理解,第二个是不是跟你说的原因一样?能简单解释下吗? |
|
8
hcymk2 Jan 28, 2018
JWT 的安全成本更高,当 JWT 保存在 Local Storage 时,更容易被 xss,而且要想根除 xss 的威胁要前后端都要做大量细致的工作。而 JWT 放在 cookie ( http-only )中的话,这样其实和传统的 cookie/session 机制基本没有什么区别。
|
 |
9
nl101531 Jan 28, 2018 via Android
请求 user/me,拿到信息后放 sessionStorge 中。jwt 只用来认证。
另外顺便问下 jwt 多密钥怎么搞? |
 |
10
ivydom Jan 28, 2018 via iPhone 1
https://github.com/Authing/authing 最近做了个云端用户认证系统 使用了 jwt 楼主可以参考
|
Select Language