极客观点
项目管理
HarmonyOS
很高兴知道,因为我的基本注册/身份验证系统正在运行。
所以基本上我得到了这个:
app.post('/login', function(req,res) {
Users.findOne({
email: req.body.email
}, function(err, user) {
if(err) throw err;
if(!user) {
res.send({success: false, message: 'Authentication Failed, User not found.'});
} else {
//Check passwords
checkingPassword(req.body.password, user.password, function(err, isMatch) {
if(isMatch && !err) {
//Create token
var token = jwt.sign(user,db.secret, {
expiresIn: 1008000
});
res.json({success: true, jwtToken: "JWT "+token});
} else {
res.json({success: false, message: 'Authentication failed, wrong password buddy'});
}
});
}
});
});
然后,每当我发送带有标头中的 jwt 的 get 请求时,我都会使用 POSTMAN 保护我的 /admin 路由,一切正常。
现在这是棘手的部分,基本上当我要登录时,如果成功,然后将我重定向到管理页面,每次我尝试访问 admin/* 路由时,我想将我的 jwToken 发送到服务器,但问题是,我该如何实现呢?我没有使用 redux/flux,只是使用 react/react-router。
我不知道机械师是如何工作的。
多谢你们
原文由 MaieonBrix 发布,翻译遵循 CC BY-SA 4.0 许可协议
不要将令牌存储在 localStorage 中,使用 xss 攻击可能会破坏令牌。我认为最好的解决方案是在登录操作时向客户端提供访问令牌和刷新令牌。将访问令牌保存在内存中(例如 redux 状态),并且应该在服务器上使用 httpOnly 标志创建刷新令牌(如果可能,还要使用安全标志)。访问令牌应设置为每 2-3 分钟过期一次。为了确保用户不必每 2-3 分钟输入他的凭据,我有一个间隔,在当前令牌到期之前调用
/refreshToken端点(静默刷新令牌)。这样,访问令牌就不会被 xss/csrf 破坏。但是使用 xss 攻击,攻击者可以代表您调用
/refreshToken端点,但这不会有害,因为返回的令牌不会被破坏。