PHP:基于JWT的身份验证
问题描述:
思考基于JWT令牌的PHP身份验证,我意识到,当用于构建API时,不可能在同一浏览器的不同选项卡中加载相同的页面,因为每个对服务器的请求都会需要令牌来验证新选项卡没有的用户。PHP:基于JWT的身份验证
我目前正在使用的项目不需要我使用cookie,认证应该是纯粹的令牌。
我是否错过了某些东西或者它应该如何工作?
PS:我在智威汤逊认证
答
这是应该使用的cookie +令牌来完成过去2天。如果您将令牌存储在cookie中,则可以根据有效域在其他选项卡中使用它。它仍然是基于令牌的身份验证,您应该只关注cookie安全性。
答
如果您无法通过其他一些机制(如本地存储或Cookie)交换令牌,那么可以使用交换作为令牌,那么是的,这是正确的。
请记住,虽然localStorage必须手动删除,所以它可能不是最好的机制。
嗯,我明白了,因为我正在开发的是一个API,我不需要打扰会话或cookie,但发送给用户的数据的有效性 –
只是不使用php会话,将您的jwt令牌设置为基于你的域名的cookie过期,它是'httponly'和'secure'并且总是使用ssl。 – abeyaz