我正在用Vue.js创建一个SPA应用程序(将存储在远程服务器上),我对应该使用什么感到困惑 .
起初我考虑过使用Passport,但我不明白,如果我需要向服务器发送我的 client-secret 和 client-id ,如何使其非常安全 .
然后我阅读了更多关于JWT的内容,但我的令牌没有范围,也没有刷新令牌 . 这意味着如果有人从localStorage中窃取了令牌,那么他将永久访问该用户 .
还有一个关于令牌访问和API的问题 . 当它取决于它的重要性时,我阅读了很多关于不同令牌到期的内容 . 这意味着更改密码的令牌必须在5分钟内有效,但读取某些信息的令牌有效期为6个月 . 这是对的,如何做到这一点?
关于JWT或Passport - 我应该使用什么?
1 回答
如果从客户端访问api目录(使用angular / react / vue js ..),我建议你使用Passport . 在护照中有一个选项调用Password Grant Tokens,因此用户必须输入用户凭证并且它将生成一个令牌(您可以调整令牌的生命周期),当它到期时,您可以refresh它 . 是的 if someone stole your token they can access your data
如果您想了解更多信息,请阅读此内容:https://stackoverflow.com/a/34983109/801448