JWT 要存儲(chǔ)在哪里

JWT 要存儲(chǔ)在哪里，相信很多沒有經(jīng)驗(yàn)的人對(duì)此束手無(wú)策，為此本文總結(jié)了問題出現(xiàn)的原因和解決方法，通過這篇文章希望你能解決這個(gè)問題。

JWT  是將web 應(yīng)用無(wú)狀態(tài)化的一種方式。

1. 首先拿到JWT Token

HTTP/1.1
POST /token
Host: galaxies.com
Content-Type: application/x-www-form-urlencoded
username=abc&password=password

服務(wù)器返回
HTTP/1.1 200 OK
{
  "access_token": "eyJhbGciOiJIUzI1NiIsI.eyJpc3MiOiJodHRwczotcGxlL.mFrs3Zo8eaSNcxiNfvRh9dqKP4F1cB",
       "expires_in":3600
 }

下次請(qǐng)求時(shí)，需要帶上這個(gè)token，以便服務(wù)器驗(yàn)證。

2. 將Token存儲(chǔ)于LocalStorage或SessionStorage

function tokenSuccess(err, response) {
    if(err){
        throw err;
    }
    $window.sessionStorage.accessToken = response.body.access_token;
}

接下來的請(qǐng)求需要帶上Token：
HTTP/1.1
GET /stars/pollux
Host: galaxies.com
Authorization: Bearer eyJhbGciOiJIUzI1NiIsI.eyJpc3MiOiJodHRwczotcGxlL.mFrs3Zo8eaSNcxiNfvRh9dqKP4F1cB

缺點(diǎn)：
由于LocalStorage 和 SessionStorage 都可以被 javascript 訪問，所以容易受到XSS攻擊。尤其是項(xiàng)目中用到很多第三方的Javascript類庫(kù)。
另外，需要應(yīng)用程序來保證Token只在HTTPS下傳輸。

3. 將Token存儲(chǔ)于Cookie

HTTP/1.1 200 OK
Set-Cookie: access_token=eyJhbGciOiJIUzI1NiIsI.eyJpc3MiOiJodHRwczotcGxlL.mFrs3Zo8eaSNcxiNfvRh9dqKP4F1cB; Secure; HttpOnly;

隨后的請(qǐng)求需要帶上Token
GET /stars/pollux
Host: galaxies.com
Cookie: access_token=eyJhbGciOiJIUzI1NiIsI.eyJpc3MiOiJodHRwczotcGxlL.mFrs3Zo8eaSNcxiNfvRh9dqKP4F1cB;

優(yōu)點(diǎn)：
可以指定 httponly，來防止被Javascript讀取，也可以指定secure，來保證token只在HTTPS下傳輸。

缺點(diǎn)：
不符合Restful 最佳實(shí)踐。
容易遭受CSRF攻擊 （可以在服務(wù)器端檢查 Refer 和 Origin）

4. 推薦使用Cookie來存儲(chǔ)Token

相比較而言，Web Storage比Cookie更容易受到攻擊。

看完上述內(nèi)容，你們掌握J(rèn)WT 要存儲(chǔ)在哪里的方法了嗎？如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注億速云行業(yè)資訊頻道，感謝各位的閱讀！