ExpressJS：身份验证时，我是从后端存储 JWT 令牌还是从前端存储 JWT 令牌？

Question

我正在继承一个后端 Express API 和一个前端 React 应用程序。

目前我在我的POST /login API 中使用cookie-parser，如下所示：

    res.cookie('something', 'abc123', {
      maxAge: COOKIE_MAX_AGE
    });

在我的前端应用程序中，有一个检查身份验证令牌是否存在的功能：

export function isAuthCookiePresent() {
  console.log('ALL COOKIES:', cookies.get());
  return (
    cookies.get(AUTH_COOKIE_NAME) && cookies.get(AUTH_COOKIE_NAME) !== null
  );
}

正如预期的那样，我在控制台日志中看到了{ something: 'abc123' }。

但是，当我尝试在 Vercel (https://vercel.com/) 中使用自动部署的分支登录时，cookie 丢失了。

我的印象是 cookie 应该设置在前端？但在代码中，cookie 是在后端设置的。而且我在将其传递到前端的代码中看不到任何内容。我以为我会在前端找到类似“成功登录后，执行cookies.set("x-auth-token", res.body.token)”的东西

对我来说很奇怪，它完全可以在本地工作。有人介意解释这是如何工作的吗？我认为cookies存储在客户端的浏览器中。但如果这是真的，为什么 cookie-parser 甚至存在于 express 中，为什么它被用于服务器端？

Answer 1

但是，当我尝试在 Vercel (https://vercel.com/) 中使用自动部署的分支登录时，cookie 丢失了。

这是因为您似乎正在设置 cookie 服务器端，据我所知，vercel 只处理客户端，不会让您使用 express。

---

我的印象是 cookie 应该设置在前端？但在代码中，cookie 是在后端设置的。而且我在将其传递到前端的代码中看不到任何内容。我以为我会在前端找到类似“成功登录后，执行 cookies.set("x-auth-token", res.body.token)”的东西

Cookies 实际上可以通过标头 (Set-Cookie: <cookie-name>=<cookie-value>) 设置，这正是 express 的 res.cookie 所做的。 MDN's article on the Set-Cookie header 说：

Set-Cookie HTTP 响应头用于将 cookie 从服务器发送到用户代理，因此用户代理可以稍后将其发送回服务器。要发送多个 cookie，应在同一个响应中发送多个 Set-Cookie 标头。

---

对我来说很奇怪，它完全可以在本地工作。有人介意解释这是如何工作的吗？我认为cookies存储在客户端的浏览器中。但如果这是真的，为什么 cookie-parser 甚至存在于 express 中，为什么它被用于服务器端？

Cookie 实际上是存储在客户端的。它们可以通过客户端 javascript 和带有 cookie 标头的后端访问。需要cookie-parser 模块来解析Cookie 标头（Cookie - HTTP | MDN）发送的name=value 语法。它被用于服务器端，因为在前端验证 cookie 可以让任何用户为您用于验证 cookie 的 if 语句提供错误的“真”值。

---

作为对这个问题的回答：我建议使用后端，因为 JWT 必须进行签名，并且在客户端设置和签名它们将允许任何人签署任意有效负载。