Sha*_*mar 3 authentication node.js express jwt reactjs
我正在创建登录模块。
用户将输入用户名和密码。
如果用户验证成功,服务器将返回 JWT 令牌。
我将使用 JWT 令牌来验证 React js 中的不同 API 调用。
现在我担心的是,我发现了一些与此相关的文章,然后我发现我们可以使用仅 http 的 cookie。我们如何实现httponly cookie方法来存储JWT?安全吗?
HttpOnly cookie 是安全的,因为它们不会通过 Document.cookie API 受到浏览器访问,因此不会受到 XSS 攻击等攻击。
当您的用户成功验证后,服务器应该生成一个 jwt 令牌并将其作为 cookie 返回给您的客户端,如下所示:
return res.cookie('token', token, {
expires: new Date(Date.now() + expiration), // time until expiration
secure: false, // set to true if you're using https
httpOnly: true,
});
可以通过来自客户端的传入 http 请求来访问 cookie。您可以使用授权中间件功能检查 cookie 的 jwt 值,以保护您的 API 端点:
const verifyToken = async (req, res, next) => {
const token = req.cookies.token || '';
try {
if (!token) {
return res.status(401).json('You need to Login')
}
const decrypt = await jwt.verify(token, process.env.JWT_SECRET);
req.user = {
id: decrypt.id,
firstname: decrypt.firstname,
};
next();
} catch (err) {
return res.status(500).json(err.toString());
}
};
更多详细信息参考:https://dev.to/mr_cea/remaining-stateless-jwt-cookies-in-node-js-3lle
| 归档时间: |
|
| 查看次数: |
5517 次 |
| 最近记录: |