我正在使用 JWT 构建一个 Node Web 应用程序进行用户身份验证。
当用户提交正确的 ID 和密码时,我的服务器通过“Set-Cookie”在HTTP-Only cookie中发送 JWT ,但我对如何访问存储在 cookie 中的 JWT 感到困惑,以便在授权时可以将其包含在授权标头中API 请求。
如何从客户端访问 HTTP-Only cookie 以在向服务器发送 API 请求时包含它?
或者,通过让服务器在响应正文中发送 JWT 来完全不使用 cookie 是否安全?那么我可以通过将 JWT 放入客户端变量来使用它吗?这样,我相信该变量仅在用户关闭浏览器之前才有效。
我查找了很多资源,但无法找到我所困扰的这个问题的明确答案。