基于令牌与cookie两种身份验证方式的适用场景?
原文中文,约2500字,阅读约需6分钟。发表于:。对于基于令牌的身份验证: 用户访问网页 前端查询 localStorage 的令牌以确定用户是否经过身份验证 在前端:如果经过身份验证,则转到 7,否则呈现登录表单 用户通过后端进行身份验证 后端在响应正文中发送 API 令牌 前端将令牌存储在例如 localStorage 中(步骤 2 现在将成功并跳过重新身份验证) 前端呈现经过身份验证的页面...
基于令牌的身份验证通过查询localStorage中的令牌来确定用户是否经过身份验证,基于cookie的身份验证通过查询存在的cookie来确定用户是否经过身份验证。基于令牌的方法增加了XSS攻击面,而基于cookie的方法可以缓解CSRF攻击。JWT身份验证适用于第三方身份验证,而基于cookie的身份验证适用于简单的一对一客户端服务器关系。总结来说,cookie安全简单,而基于令牌的方式更灵活但可能更差。
