Я строю одностраничное приложение, используя AngularJS и Spring для бэкэнд. Для того, чтобы сделать мой бэкэнд без гражданства, я недавно исследовал JWT (JSON Web Tokens). Теперь вот путаница -Cookie против аутентификации на токенах для SPA?
a. Должен ли я отправить свой JWT на заголовок ответа клиенту, а затем сохранить его в файл cookie через ngCookie? Если да, как я могу обращаться с атак XSS?
b. Должен ли я отправлять JWT в файл cookie, сгенерированный в backend, и устанавливать cookie в браузере клиента?
c. Безопасна ли JWT? (Так как я могу легко декодировать JWT, кстати, я буду запускать свое приложение на https)
Если есть лучший способ защитить мое приложение, я хотел бы это узнать.
спасибо.
Пожалуйста, поделитесь информацией обо всех деталях.
Зачем его сохранять в локальном хранилище при сохранении данных в куки-файлах очень жизнеспособным вариантом –
Если вы храните его в файле cookie и не отправляете его в заголовке, вы упускаете некоторые из преимуществ (CORS, CSRF ...). Если вы храните его в файле cookie и отправляете в заголовке, это просто пустая трата. –