我使用Laravel创建了API,对于令牌身份验证,我使用Laravel Sanctum。移动的应用程序和SPA(ReactJ)使用相同的API。我的问题是在ReactJS应用程序中存储令牌。如果我在本地存储中使用它,那么就有安全的机会。使用Laravel Sanctum时,将令牌存储在ReactJs应用程序中的最佳选项是什么?重要的一点是ReactJS应用程序和APIs Backend server位于不同的服务器上。
Laravel Sanctum
ReactJs
ReactJS
APIs Backend server
ibps3vxo1#
Laravel Santcum有两种类型的API身份验证:
建议您在React用例中使用SPA验证。它具有一些安全优势,如CSRF保护、会话验证和保护您的网站免受XSS攻击。当您手动设置会话时,它可以被第三方JS插件读取,但如果您使用SPA,它会设置带有HttpOnly标志的cookie,无法被第三方脚本读取。欲了解更多信息,请阅读这里:使用HttpOnly属性可防止通过JavaScript访问Cookie值。
HttpOnly
1条答案
按热度按时间ibps3vxo1#
Laravel Santcum有两种类型的API身份验证:
建议您在React用例中使用SPA验证。它具有一些安全优势,如CSRF保护、会话验证和保护您的网站免受XSS攻击。当您手动设置会话时,它可以被第三方JS插件读取,但如果您使用SPA,它会设置带有
HttpOnly标志的cookie,无法被第三方脚本读取。欲了解更多信息,请阅读这里:
使用HttpOnly属性可防止通过JavaScript访问Cookie值。