0
我有一個用例,想法諮詢。假設我們有一個普通的非單頁。我們希望真正參與JWT,同時不要使用cookies - 不要使用cookies。動態地爲每個請求添加承載是一個好主意?用戶單擊一個鏈接並觸發一個js事件,將不記名標記添加到標題中。只有網頁的JWT辭職和替換cookies
我在問,因爲越來越多的情況下,我看到單頁應用程序被放置,嵌入,混入經典的非單頁應用程序。 JWT真的有很大的潛力,但在我看來,混合cookie和JWT並不是很乾淨和容易出錯。我們再次必須處理CSRF,所以......在JWT中有CSRF令牌,在Cookie中有JWT。
上述解決方案讓我們只處理JWF令牌 - 所以這簡化了安全戰鬥。如果有人沒有登錄,JWT將不會被追加。
但我錯過了這個概念的東西,還是這個堅實?
heh ...無賴...所以這是餅乾或什麼都沒有,是吧? ;) – Digital87