differenze tra res.header (x-auth, JWTtoken) e res.cookies (JWTtoken)?

0

Ho visto in tutti i blog e gli articoli che ci sono due modi per gestire JWTtokens , metterli all'interno di localStorage che sono stati sottoposti per XSS all'attacco o metterli all'interno di Cookies e impostare httpOnly e secure flags per evitare XSS .

Utilizzo di localStorage

Per ogni richiesta al server estrai token di localStorage e aggiungilo manualmente a Authorization : Bearer <Token> .

Utilizzo dei cookie

Viene gestito lato server dal momento che non sarà accessibile da JS lato client, quello che fai è res.cookies(token) , e verrà inviato automaticamente per ogni chiamata successiva a differenza di localStorage

Ma ultimamente ho visto alcuni sviluppatori semplicemente inserire il token nelle intestazioni usando res.headers('x-auth', token) .

  1. È un terzo modo per gestire JWT?
  2. L'intestazione di X-Auth impostata automaticamente per ogni richiesta successiva al server come i cookie o devi impostarla manualmente (come nel caso di localStorage)?
  3. I token nell'intestazione X-Auth non sono accessibili da JS e protetti come i cookie?
  4. qual è la differenza tra farlo a modo tuo res.header ('X-auth') e res.cookie (token)?
  5. Infine qual è il modo migliore per farlo se la mia API viene utilizzata dall'app Web ReactJS e dall'applicazione mobile reattiva?

Grazie

    
posta Dodz 23.08.2018 - 17:11
fonte

0 risposte

Leggi altre domande sui tag