JWT LocalStorage 与 Cookie

Question

我已经阅读了很多关于在哪里存储 JWT 的文章，并且似乎有很多人支持本地存储与 cookie 争论的双方。

Microsoft 表示 this 关于基于令牌的身份验证：

要在后续请求中发送令牌，请将令牌存储在 浏览器的本地存储。不要担心 CSRF 漏洞 如果令牌存储在浏览器的本地存储中。 CSRF 是一个 关注令牌何时存储在 cookie 中。

虽然this 等帖子强烈主张使用cookies：

我今天看到的最大的安全违规者是我们这些存储 本地存储中的 JWT（会话数据）。很多人没有意识到 JWT 本质上与用户名/密码相同。

我想创建一个可供 SPA 和移动应用程序访问的 API。

我的理解是 SPA 可以/应该使用 cookie：

new CookieOptions
{
  HttpOnly = true,
  SameSite = SameSiteMode.Strict,
  Secure = true
}

虽然移动应用程序会将 JWT 存储在设备上并将其添加到每个请求的 Authorization 标头中，因为它没有 cookie 的概念。

在以前的项目中，我在我的 SPA 中使用 jwt-decode 来解析令牌中的用户信息（例如角色）。如果我使用 HttpOnly cookie，因为我无法访问令牌，这将如何工作？

简而言之，将 JWT 存储在本地存储中是否安全，或者它应该始终是 cookie。如果需要 cookie，我如何在客户端应用程序中为用户确定角色等？

Answer 1

用“js-cookie”模块设置你的cookies真的很常见。这是我如何将它与 jwt 一起使用的示例。

 setSession(authResult) {
// Set the time that the Access Token will expire at
const expiresAt = authResult.expiresIn * 1000 + new Date().getTime();
// this.accessToken = authResult.accessToken;
this.idToken = authResult.idToken;
this.expiresAt = expiresAt;
Cookies.set("user", authResult.idTokenPayload);
Cookies.set("jwt", authResult.idToken);
Cookies.set("expiresAt", expiresAt);

// navigate to the home route
}

logout() {
Cookies.remove("user");
Cookies.remove("jwt");
Cookies.remove("expiresAt");
const auth = this.auth0;

auth.logout({
  returnTo: "",
  clientId: "awdf8adsf98blahblah"
});
}