【发布时间】:2020-11-05 05:50:29
【问题描述】:
我构建了一个 Rest-API,它使用 JWT 和刷新令牌来处理请求。但我不确定如何将它存储在客户端。
我应该将它存储在带有 httponly 标志的 cookie 中吗?
我应该将两者都存储在 cookie 中还是一个存储在本地存储中,例如共享首选项(Android 应用程序)?
我对在客户端处理这些令牌的最佳做法很感兴趣?
【问题讨论】:
标签: android jwt refresh-token
【发布时间】:2020-11-05 05:50:29
【问题描述】:
标准建议:
- 在移动 UI 中将令牌存储在操作系统安全存储中
- 在 Web UI 中将访问令牌存储在内存中
- 在 Web UI 中,cookie 中的刷新令牌效果最佳
正确地做事需要大量的纪律。我的博客有帖子和代码示例,您可以运行以了解这些内容。也许从这里开始:
【讨论】: