5
而不是使用cookie我使用JWT令牌随每个请求一起发送。每个请求都是一个POST请求,以便该令牌不会保存在浏览器的历史记录中。在启用SSL的站点上使用JWT而不是Cookie
这是一个单页的应用程序。
令牌的样子:
{
userId: 12345678,
expires: <UNIX timestamp>,
otherInfo: <something>
}
一切都是SSL安全。 用户登录时,会在服务器上创建令牌。
这是替换cookie的好方法还是你看到任何缺陷?
即使对于GET请求,为什么浏览器历史记录会成为单页面应用程序的问题? AJAX请求不会落入浏览器历史记录中。不过最好将标记放入“授权”标头中,因此,如果您使用GET,它不会意外出现在访问日志中。 –