REST API и проверка подлинности JWT: отправка данных по токену?

Question

Я работаю над javascript-приложением, используя REST API. аутентификация производится с JWT токеном хранится в печенье

Прямо сейчас, этот сценарий реализуется:

• пользователь Войти с учетными данными. Клиентские вызовы POST /token для аутентификации

• сервер отвечает HTTP-файлом, содержащим токен.

• После аутентификации, клиент делает еще один запрос, чтобы получить все пользовательские данные (GET /me)

Я хотел бы сделать этот процесс как можно быстрее и сократить количество серверных запросов в максимально возможной степени. Я думал о объединении вызовов /token и /me и получения токена и пользовательских данных по тому же запросу.

Это можно сделать разными способами:

• в формуле маркера, но клиент не сможет использовать его, как это в HTTP-только печенье.

• в другом, не HTTP-только, печенье, но это будет отправлено бесцельно с каждым последующим запросом, так что я не люблю это решение

• в теле ответа, когда сервер отправляет куки после аутентификации, но У меня такое чувство, что оно противоречит принципам REST при отправке пользовательских данных из конечной точки аутентификации.

Есть ли способ сделать этот процесс более простым при соблюдении стандартных процессов и принципов REST?

Answer 1

Я использую Cookies как хранилище, но не в режиме HTTPonly. В этом случае самым простым является кодирование необходимой информации внутри токена.

Вы вынуждены использовать только HTTP-файлы cookie? Это вариант для вас, чтобы изменить его (на самом деле, для этого вы должны овладеть сервером авторизации)?

Другое дело: использование GET для передачи учетных данных небезопасно, так как вы, вероятно, передаете свои учетные данные в URL-адресе, который может быть получен из журналов сервера. Предпочитают POST (и HTTPS, конечно).

Немного указателей о JWT и их stategies хранения:

• Tokens vs Cookies
• Where to store the tokens?
• Threats of token theft