所以我对传递JWT授权的正确方法有点困惑,我知道一个常见的方法是你可以使用一个Authorization头来验证它,就像这样:
const verifyToken = (req, res, next) => {
const authHeader = req.headers.token;
if (authHeader) {
const token = authHeader.split(" ")[1];
jwt.verify(token, process.env.JWT_KEY, (err, user) => {
if (err) {
res.status(403).json("Token is not valid!");
}
req.user = user;
next();
});
} else {
res.status(401).json("You're not authenticated");
}
};但是,如果我在登录后使用cookie来存储我的JWT令牌,例如:
res.cookie("accessToken", accessToken, { httpOnly: true });
res.cookie("refreshToken", refreshToken, { httpOnly: true });这是否意味着我可以忽略上面的authHeader,直接从cookie中使用来验证我的Token?例如:
const verifyToken = (req, res, next) => {
//USING TOKEN FROM COOKIES
const accessToken = req.cookies.accessToken;
const refreshToken = req.cookies.refreshToken;
if (accessToken && refreshToken) {
jwt.verify(accessToken, process.env.JWT_KEY, (err, user) => {
if (err) {
res.status(403).json("Token is not valid!");
}
req.user = user;
next();
});
} else {
res.status(401).json("You're not authenticated");
}
};感谢任何澄清
1条答案
按热度按时间x6yk4ghg1#
我认为直接将令牌存储为cookie是一种不好的做法,因为任何访问计算机的人都可以访问它们。Cookie存储在浏览器中时不受保护。
只设置HttpOnly也是不好的做法,您还应该在cookie上设置Secure和SameSite属性,以使它们更安全。更好的方法是在将它们存储在cookie中之前对其进行加密。
更好的方法是查看BFF模式,如here所述
为了补充这个答案,我写了一篇博客文章,更详细地介绍了这个主题:Debugging cookie problems