JWT要存儲(chǔ)在哪里

JWT 要存儲(chǔ)在哪里，相信很多沒有經(jīng)驗(yàn)的人對(duì)此束手無策，為此本文總結(jié)了問題出現(xiàn)的原因和解決方法，通過這篇文章希望你能解決這個(gè)問題。

創(chuàng)新互聯(lián)主要從事成都網(wǎng)站建設(shè)、成都網(wǎng)站制作、網(wǎng)頁(yè)設(shè)計(jì)、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)巴中,十載網(wǎng)站建設(shè)經(jīng)驗(yàn),價(jià)格優(yōu)惠、服務(wù)專業(yè),歡迎來電咨詢建站服務(wù):028-86922220

JWT  是將web 應(yīng)用無狀態(tài)化的一種方式。

1. 首先拿到JWT Token

HTTP/1.1
POST /token
Host: galaxies.com
Content-Type: application/x-www-form-urlencoded
username=abc&password=password

服務(wù)器返回
HTTP/1.1 200 OK
{
  "access_token": "eyJhbGciOiJIUzI1NiIsI.eyJpc3MiOiJodHRwczotcGxlL.mFrs3Zo8eaSNcxiNfvRh9dqKP4F1cB",
       "expires_in":3600
 }

下次請(qǐng)求時(shí)，需要帶上這個(gè)token，以便服務(wù)器驗(yàn)證。

2. 將Token存儲(chǔ)于LocalStorage或SessionStorage

function tokenSuccess(err, response) {
    if(err){
        throw err;
    }
    $window.sessionStorage.accessToken = response.body.access_token;
}

接下來的請(qǐng)求需要帶上Token：
HTTP/1.1
GET /stars/pollux
Host: galaxies.com
Authorization: Bearer eyJhbGciOiJIUzI1NiIsI.eyJpc3MiOiJodHRwczotcGxlL.mFrs3Zo8eaSNcxiNfvRh9dqKP4F1cB

缺點(diǎn)：
由于LocalStorage 和 SessionStorage 都可以被 javascript 訪問，所以容易受到XSS攻擊。尤其是項(xiàng)目中用到很多第三方的Javascript類庫(kù)。
另外，需要應(yīng)用程序來保證Token只在HTTPS下傳輸。

3. 將Token存儲(chǔ)于Cookie

HTTP/1.1 200 OK
Set-Cookie: access_token=eyJhbGciOiJIUzI1NiIsI.eyJpc3MiOiJodHRwczotcGxlL.mFrs3Zo8eaSNcxiNfvRh9dqKP4F1cB; Secure; HttpOnly;

隨后的請(qǐng)求需要帶上Token
GET /stars/pollux
Host: galaxies.com
Cookie: access_token=eyJhbGciOiJIUzI1NiIsI.eyJpc3MiOiJodHRwczotcGxlL.mFrs3Zo8eaSNcxiNfvRh9dqKP4F1cB;

優(yōu)點(diǎn)：
可以指定 httponly，來防止被Javascript讀取，也可以指定secure，來保證token只在HTTPS下傳輸。

缺點(diǎn)：
不符合Restful 最佳實(shí)踐。
容易遭受CSRF攻擊 （可以在服務(wù)器端檢查 Refer 和 Origin）

4. 推薦使用Cookie來存儲(chǔ)Token

相比較而言，Web Storage比Cookie更容易受到攻擊。

看完上述內(nèi)容，你們掌握J(rèn)WT 要存儲(chǔ)在哪里的方法了嗎？如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝各位的閱讀！

當(dāng)前標(biāo)題：JWT要存儲(chǔ)在哪里
當(dāng)前地址：http://www.jiaotiyi.com/article/jggioh.html