在通用 React 应用程序上存储 JWT 令牌

Posted 2023-03-10

【中文标题】在通用 React 应用程序上存储 JWT 令牌

【英文标题】：Storing JWT token on an universal React application

【发布时间】：2018-11-26 18:38:13

【问题描述】：

我有一个使用 Redux、React-routerV4、mysql 和 Sequelize 的通用 React 应用程序。我正在尝试保护一些路线，为此我正在使用 Passport，就像在本教程中一样：https://hptechblogs.com/using-json-web-token-react/

通常建议将 JWT 存储在 Web 浏览器上，因为您不必每次加载路由时都向数据库发出请求。但对于带有 s-s-r 的应用程序，这没有用，因为服务器加载的组件无法访问 LocalStorage 或 SessionStorage。

我在想，在通用应用程序的情况下，将令牌存储在 cookie 中是否更好……有什么想法吗？

谢谢！

【参考方案1】：

如果您需要 s-s-r 支持，存储在 cookie 中是更好的选择。或者，如果您不介意在服务器端序列化到磁盘，您可以使用像 node-localstorage 这样的库。

但是，将 JWT 存储在本地存储或 cookie 中是一个坏主意 - 因为您本质上是在显而易见地存储用户名/密码。如果这是一个问题，那么您应该创建一个会话标识符（或类似的），然后将其存储在带有httpOnly 标志的 signed cookie 中，然后使用该标识符访问服务器上的敏感信息。