长篇大论,但我正在使用 Googles Youtube v3 Data API node.js 包来登录用户并查看播放列表等。当前,当用户使用 googles Oauth 重定向流成功登录时,会调用路由服务器端,它通过 url 查询参数传入代码。我能够解析它,用我的 oauth2Client 生成一个令牌,然后创建一个签名的 jwt。现在我将用户重定向到一个带有签名 jwt 作为 url 查询参数的 url,然后将其解析出浏览器端并作为令牌存储在本地存储中,这是我第一次使用与 jwts 相关的任何东西并且想要成为确定我正在以安全的方式做事。因此,我不完全确定我如何将令牌服务器端发送到客户端是正确的方法,并且不太确定从哪里开始寻找。
3 回答
qq_花开花谢_0
TA贡献1835条经验 获得超7个赞
这不是正确的方法。如果服务器正在响应 XHR 请求(来自 javascript),则服务器可以在响应正文中发送 JWT。如果服务器正在响应常规浏览器请求(GET 或 POST,但不由 javascript 处理),那么将 JWT 放入 cookie 会更容易。
添加回答
举报
0/150
提交
取消