JWT认证的设计?
Design of JWT authentication?
我正在使用在 https://github.com/davesque/django-rest-framework-simplejwt 找到的 DjangoRest Framework simple-jwt 包。
这提供了两个 api 端点来获取访问令牌和刷新令牌。目前我将访问令牌存储在浏览器的 localStorage 中。这是存储它的最佳位置,还是 sessionStorage 更好?
当我因为当前访问令牌过期而需要新的访问令牌时,我是否应该在 POST 请求中传递刷新令牌(存储在 localStorage 中)?这是最好的实施吗?将这个关键的刷新令牌字符串存储在浏览器中似乎是不安全的。
行得通,是的,您将传递刷新令牌。由于您将它用于 Web 应用程序,因此我建议您使访问令牌和刷新令牌过期得相当快,这样它总是会生成一个新令牌。
我正在使用在 https://github.com/davesque/django-rest-framework-simplejwt 找到的 DjangoRest Framework simple-jwt 包。
这提供了两个 api 端点来获取访问令牌和刷新令牌。目前我将访问令牌存储在浏览器的 localStorage 中。这是存储它的最佳位置,还是 sessionStorage 更好?
当我因为当前访问令牌过期而需要新的访问令牌时,我是否应该在 POST 请求中传递刷新令牌(存储在 localStorage 中)?这是最好的实施吗?将这个关键的刷新令牌字符串存储在浏览器中似乎是不安全的。
行得通,是的,您将传递刷新令牌。由于您将它用于 Web 应用程序,因此我建议您使访问令牌和刷新令牌过期得相当快,这样它总是会生成一个新令牌。