我使用JWT令牌进行身份验证,因为服务器是无状态的,所以客户端(Javascript应用程序)使用cookies存储JWT令牌,每次从cookies读取令牌,并在对服务器的任何调用中相应地设置授权头。我面临的问题是令牌可能会变得大于4KB,这会导致javascript部分出现故障。显然,Javascript对cookie大小有4KB的限制。因此,这造成了一个问题。
Set-Cookie header is ignored in response from url: xxxxx. Cookie length should be less than or equal to 4096 charact
如何在前端使用RESTful API作为后端并由JSON令牌(JWT)授权,我们如何处理会话?例如,登录后,我从REST获得一个JWT令牌。如果我将它保存到localStorage中,我很容易受到XSS的攻击,如果我将它保存到cookie中,除了我将cookie设置为HttpOnly之外,还会出现相同的问题,但是React不能读取HttpOnly cookies (我需要读取cookie来从中获取JWT,并使用这个JWT来处理REST请求),我也没有提到跨站点请求伪造(CSRF)问题。如果使用REST作为后端,则不能使用CSRF令牌。
因此,用REST做出反应似乎是一个糟糕的解决方案,我需要重