相关疑难解决方法(0)

为了使用JWT保护REST API,根据一些材料(如本指南和此问题),JWT可以存储在localStorage或Cookies中.根据我的理解:

• localStorage受XSS限制,通常不建议在其中存储任何敏感信息.
• 使用Cookie,我们可以应用标志"httpOnly",这可以降低XSS的风险.但是,如果我们要在后端从Cookies读取JWT,那么我们将受到CSRF的约束.

因此,基于上述前提 - 最好将JWT存储在Cookies中.在每次向服务器发出请求时,将从Cookie中读取JWT并使用承载方案添加到授权标头中.然后,服务器可以验证请求标头中的JWT(而不是从cookie中读取它).

我的理解是否正确？如果是这样,上述方法是否有任何安全问题？或者实际上我们可以在第一时间使用localStorage逃脱？