Javascript 存储访问令牌以供前端使用的位置
我有一个liberty服务器,带有一个web应用程序和一个Javascript 存储访问令牌以供前端使用的位置,javascript,java,access-token,openid-connect,websphere-liberty,Javascript,Java,Access Token,Openid Connect,Websphere Liberty,我有一个liberty服务器,带有一个web应用程序和一个RESTAPI 两者都由Liberty服务器上的openidconnect保护。api接受用于身份验证的访问令牌。web应用程序不完全是前端,因此我需要自由来处理身份验证 我正在考虑将访问令牌存储在cookie中,让前端读取cookie并将令牌添加到任何api调用中。有更好的选择吗 对于javascript可读cookie,我需要小心使用XSS您可以根据需要使用本地存储或会话存储。如果您只想为该会话存储,则可以使用会话存储,其中本地存储用
RESTAPI
两者都由Liberty服务器上的openid
connect保护。api接受用于身份验证的访问令牌。web应用程序不完全是前端,因此我需要自由来处理身份验证
我正在考虑将访问令牌存储在cookie中,让前端读取cookie并将令牌添加到任何api调用中。有更好的选择吗
对于javascript可读cookie,我需要小心使用XSS
您可以根据需要使用本地存储或会话存储。如果您只想为该会话存储,则可以使用会话存储,其中本地存储用于长期存储。您可以根据需要使用本地存储或会话存储。如果您只想为该会话存储令牌,则可以使用会话存储,当您想长期存储令牌时,可以使用本地存储。考虑将访问令牌存储在浏览器本地存储中。向API发出请求时,将访问令牌(从存储器)作为头添加到请求中。这样就无法执行XSS攻击。JS是否仍然可以读取本地存储?对本地存储的访问基于提供脚本的域。因此,存储在本地存储中的所有内容都只能通过域中的脚本访问。但是,我可以从java服务器后端访问本地存储吗?不,本地存储在客户端浏览器中(如google chrome、mozilla)。请考虑将访问令牌存储在浏览器本地存储中。向API发出请求时,将访问令牌(从存储器)作为头添加到请求中。这样就无法执行XSS攻击。JS是否仍然可以读取本地存储?对本地存储的访问基于提供脚本的域。因此,存储在本地存储中的所有内容都只能通过域中的脚本访问。但是,我可以从java服务器后端访问本地存储吗?不,本地存储在客户端浏览器中(如google chrome、mozilla)。这不是正确的解决方案。阅读更多详细信息这不是正确的解决方案。阅读更多细节