你应该如何存储访问令牌?
Mat*_*ber 5 authentication access-token jwt auth0 redux
我们正在构建一个带有 React/Redux 前端和 NodeJS/Express 后端的应用程序。我不是安全专家,而是选择使用 Auth0 来处理身份验证。
当用户登录时,Auth0 会返回一个 ID 令牌和一个访问令牌,此访问令牌用于验证和访问我们的后端 API。
我们已经看到这个访问令牌之前存储在本地存储中,但 Auth0 然后与此处相矛盾。此外,在这个答案中,似乎有些人建议将其存储在 Local Storage 中,就像this one 一样。
这让我非常困惑。我们如何在不将其存储在内存中的情况下存储和持久化令牌?我们只能将它存储在 Redux 中,但它会在刷新时清除,这不是解决方案。
在这里,他们显示用户登录并返回访问令牌,稍后它将与 API 请求一起发送,我理解,但同时将其存储在哪里?
我们应该如何存储访问令牌以便我们的应用程序可以访问我们的 API?或者我们根本不应该存储它?
Kac*_*cem -1
存储 AT/RT 的最佳方法是为客户端后端服务器使用分布式缓存。通过这种方式,您可以确保所有 API 调用都必须通过您的后端应用程序进行传输。在您的前端,您只需传递 ID_Token 即可用于识别您的最终用户。用户发送 ID_Token --> 客户端(后端 Web 应用程序)检查 Id_Token 并从缓存中获取 AT --> 使用 AT 调用 API。
| 归档时间: |
|
| 查看次数: |
3217 次 |
| 最近记录: |