设置 JWT 访问令牌
Set JWT access token
哪个更好,为什么:
frontend 开发人员在请求 headers 中设置 JWT 令牌
或由 backend 开发人员在 cookie 中设置 ?
出于安全原因,建议客户端应用程序不要直接访问令牌,因为它容易受到许多客户端攻击,如 XSS 等。在服务器和服务器之间处理令牌时,HTTPS cookie 被认为是安全选项客户端(XSRF 通常被认为不是一个需要处理的问题)。有一些问题,比如 cookie 的最大大小、客户端支持,但在大多数情况下这应该不是问题。有关漏洞及其处理方法的更多信息,请查看 OWASP 作弊 sheet:https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.html
哪个更好,为什么: frontend 开发人员在请求 headers 中设置 JWT 令牌 或由 backend 开发人员在 cookie 中设置 ?
出于安全原因,建议客户端应用程序不要直接访问令牌,因为它容易受到许多客户端攻击,如 XSS 等。在服务器和服务器之间处理令牌时,HTTPS cookie 被认为是安全选项客户端(XSRF 通常被认为不是一个需要处理的问题)。有一些问题,比如 cookie 的最大大小、客户端支持,但在大多数情况下这应该不是问题。有关漏洞及其处理方法的更多信息,请查看 OWASP 作弊 sheet:https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.html