我有很多关于令牌的问题我应该在用户登录和注册时创建令牌还是(仅登录)?我应该将令牌保存在本地存储中吗?我应该在用户提出每个请求后发送令牌吗?我应该只在注销后销毁令牌吗?用户注册后,他/她将拥有令牌,我应该将令牌保存在本地存储中,在他/她登录后,我是否应该更换令牌,因为如果我销毁令牌并制作新令牌,他/她将拥有一个新令牌一个并在本地存储中替换它?最后一个问题如何使用令牌让用户在注册后立即登录?对不起,你们累了,但是当我尝试制作身份验证时,我想到了这些问题
2 回答
拉丁的传说
TA贡献1789条经验 获得超8个赞
重要的话题,我建议你花一点时间阅读它,但对于初学者来说,这里有一些快速的答案:
主要是登录,你也可以通过某种方式设置注册确认链接,但这取决于工作流程,用户注册后登录就足够了。
不,不安全,它应该只在内存中。(例如在商店中)
是的,您可以在每次调用的标头中设置身份验证令牌。
注销,也取决于您需要的安全级别,您可以在其上设置一些到期日期,以确保安全。
Helenr
TA贡献1780条经验 获得超4个赞
1- 仅登录
2- 否“如果你将它存储在 localStorage 中,它可以被你页面中的任何脚本访问(这听起来很糟糕,因为 XSS 攻击可以让外部攻击者访问令牌)。” 相反,您可以将其保存在 HttpOnly cookie 中
3- 是的,您还必须对其进行验证
4-这取决于您是否需要将其保存以用于历史记录和修订用户交易,因此如果您不这样做,请保存它,因此将其删除
5-您必须将用户重定向到您的应用程序,以防他拥有有效令牌,因此如果他拥有有效令牌,他将无法打开登录页面,为了再次登录,他必须注销,如果他再次登录应该怎么办我删除旧令牌?不要因为也许他从其他设备打开了你的应用程序
6-将令牌返回到前端保存该令牌然后将用户重定向到应用程序页面而不是登录。
关于主要问题标题,当您删除令牌时?
1- 登出
2-您可以进行每日检查(作业或代码)以查找过期的令牌并将其删除。
3- 在任何 Web 服务中收到过期令牌时,将其删除并将用户重定向到登录页面
添加回答
举报
0/150
提交
取消