javascript - res.header(x-auth, JWTtoken) 和 res.cookies(JWTtoken) 的区别?
问题描述
我在所有博客和文章中看到的是,有两种处理方法JWTtokens,将它们放入localStorage其中受到XSS攻击或放入其中Cookies并设置httpOnly和secure标记以避免XSS。
使用 localStorage
对于对服务器的每个请求,您都可以从中提取token并手动localStorage附加它。Authorization : Bearer <Token>
使用 Cookies
它是在服务器端处理的,因为它不会被JS客户端访问,你所做的是res.cookies(token),它将为每个后续调用自动发送,不像localStorage
但最近我看到一些开发人员只是token将res.headers('x-auth', token).
- 它是处理 JWT 的第三种方式吗?
- X-Auth 标头是否会像 cookie 一样自动为服务器的每个后续请求设置,或者您必须手动设置它(例如在 localStorage 的情况下)?
- JS 不能访问 X-Auth 标头中的令牌并像 cookie 一样安全吗?
- 以你的方式做 res.header('X-auth') 和 res.cookie(token) 有什么区别?
- 最后,如果我的 API 被 ReactJS Web 应用程序和 react-native 移动应用程序使用,那么最好的方法是什么?
谢谢
解决方案
推荐阅读
- sql - 如何根据 SQL 中另一行的条件选择日期?
- hyperledger-fabric - 无法在 1 个组织对等方和通道之间建立连接
- python - 使用 python 将 PDF 转换为图像(pdf2image 模块)
- composer-php - 我应该把文件作曲家放在哪里
- r - 如何在R中的for循环内绑定?
- node.js - 猫鼬填充不填充
- r - 动态重命名变量
- php - 如何将数千条记录加载到 JavaScript 数组而不是 HTML 中,然后用 javaScript 输出,这样我就可以保持速度
- android - Android布局上的底部空间
- php - 警告:PDOStatement::execute(): SQLSTATE[HY093]: 参数号无效:没有绑定参数 6