【发布时间】:2019-02-18 02:28:54
【问题描述】:
我是 Angular 开发的新手,想知道存储 JWT 的正确方法是什么?
我正在使用 Auth0 身份验证在 Angular 6.1 单页应用程序中开发应用程序。
身份验证发生后,Auth0 返回一个 JWT(访问令牌(jwt)),然后应用程序将其存储在本地存储中。然后,客户端应用程序对 api(MVC C#) 中的 [authorize] 修饰方法进行后调用,以验证对 api 资源的访问。该 api 正在使用 OWIN 并进行验证。
虽然访问令牌中包含颁发者和受众值,这些值由 OWIN 中间件检查,但我担心的是任何人都可以从本地存储访问它并稍后重用它并通过登录过程吗?
我应该将“access_token”存储在服务器端的会话 cookie 中吗?
任何指导将不胜感激。
【问题讨论】:
标签: angular cookies jwt session-cookies auth0