Sto cercando di capire come usare i JWT che vengono trasmessi nei cookies per una SPA. Deve essere nei cookie perché vogliamo che le richieste non-jax inviino anche il jwt, e dovrebbe "funzionare" per tutti sottodomini. Ho il cookie con il token generato e aggiornato bene sul lato server. Quello che sto cercando di capire è come il lato client dovrebbe ottenere le informazioni (is_logged_in e username dell'utente loggato in sostanza) e mantenere tali informazioni in sincronia con il ciclo di vita dei cookie lato server, poiché desidero scadenza dopo dire 1 ora di nessuna richiesta, e dovrebbe apparire sul browser quando ciò accade. Il mio problema è che le informazioni utente che voglio sono in un cookie che è http_only per prevenire XSS. Ho pensato ad un paio di opzioni e vorrei opinioni su ciò che è un ragionevole compromesso di sicurezza:
1) invia il token jwt identico in due cookie, uno utilizzato per l'autenticazione lato server effettiva e & auth, che è contrassegnato http_only e sicuro, e un secondo identico ma non http_only in modo che il client possa decodificarlo per ottenere informazioni sull'utente e tempo di scadenza.
2) invia le informazioni dell'utente in un secondo cookie che non è http_only ed è una vista semplice, ma ha solo il nome utente dell'utente connesso.
3) prova ad avere il client in grado di tenere traccia delle informazioni di accesso per conto proprio, questo sembra problematico finora e facile da inventare ma non ha cookie insicuri in giro.
Penso che potrei mancare qualche aspetto di sicurezza delle opzioni di cui sopra, quindi chiedo qui. grazie!