Html 如何对静态服务内容使用jwt身份验证?
我有一个由前端(用Vue编写)和后端(用node编写)组成的站点。 api使用jwt身份验证,这样只有登录的用户才能向后端发出请求 jwt被放置在Html 如何对静态服务内容使用jwt身份验证?,html,node.js,authentication,jwt,Html,Node.js,Authentication,Jwt,我有一个由前端(用Vue编写)和后端(用node编写)组成的站点。 api使用jwt身份验证,这样只有登录的用户才能向后端发出请求 jwt被放置在授权:持有人xxx中 当我有敏感图像或静态提供的文档(如身份证)时,就会出现问题 假设我有一个敏感图像静态服务。现在,我可以为静态服务的图像添加jwt身份验证,没有问题,但是在前端,我如何告诉浏览器将我的jwt放入请求中 请注意,jwt不是先验的,它是由用户登录检索的。使用cookies。将JSON Web令牌存储在cookie中(最好启用HTTP
授权:持有人xxx
中
当我有敏感图像或静态提供的文档(如身份证)时,就会出现问题
假设我有一个敏感图像静态服务。现在,我可以为静态服务的图像添加jwt身份验证,没有问题,但是在前端,我如何告诉浏览器将我的jwt放入请求中
请注意,jwt不是先验的,它是由用户登录检索的。使用cookies。将JSON Web令牌存储在cookie中(最好启用HTTPOnly、Secure和SameSite标志),以便浏览器自动将每个请求的值附加到源代码
从安全角度来看,这也是一个好主意-如果客户端JS在任何时候都无法访问令牌,则通过跨站点脚本漏洞泄漏令牌的风险降至零。听起来不错!我在nodejs上使用passport(如果你知道的话),它几乎是在jwt上使用cookie会话构建的(我认为它也会更高效)。我等了几天才看到其他答案,然后我将其标记为所选答案,谢谢!无论如何,使用框架提供的任何现成的东西——这可能是最安全的选择。另外,提示:您随时可以在以后更改已批准的答案,无需保留:)