Ich habe einen Anwendungsfall, Idee zu konsultieren. Sagen wir, angeblich haben wir eine gewöhnliche nicht-einzelne Seite. Wir wollen wirklich auf JWT und gleichzeitig keine Cookies verwenden - verzichten auf die Verwendung von Cookies. Es ist eine gute Idee, Träger jeder Anfrage dynamisch hinzuzufügen? Der Benutzer klickt auf einen Link und ein js-Ereignis wird ausgelöst, das das Bearer-Token in den Headern anfügt.Zurücktreten und Ersetzen von Cookies mit JWT nur für Webseite
Ich frage, weil immer häufiger sehe ich einzelne Seite Apps platziert, eingebettet, in klassischen Nicht-Single-Page-Apps verwickelt. JWT hat wirklich ein großes Potenzial, aber das Mischen von Cookies und JWT ist meiner Meinung nach nicht sehr sauber und fehleranfällig. Wir müssen uns erneut mit CSRF befassen, also ... haben Sie einen CSRF-Token in JWT und den JWT in Cookie.
Die obige Lösung lässt uns nur mit JWF-Token umgehen - das vereinfacht den Sicherheitsschlacht. Wenn jemand nicht eingeloggt ist, wird der JWT nicht angehängt.
Aber fehlt mir etwas in diesem Konzept oder ist das solide?
heh ... bummer ... so ist es Cookies oder nichts, nicht wahr? ;) – Digital87