- React使AJAX调用REST API
可以放心,有很多可使用的宁静资源客户端库
- React从REST获取JWT令牌
放心,这是智威汤逊应该做的
- React写httponly cookie
我不这样认为,它不应该起作用,但是会话并不是那么重要,它将很快过时,并重新检查关键操作的密码,即使黑客在很短的时间内就获得了密码,您也可以用户登录时将会话令牌与IP绑定在一起,并在您的后端api中进行检查。如果您希望最安全,则只需将令牌保存在内存中,然后在打开新页面或刷新页面时重新登录
- 由于react无法读取httponly cookie,因此我们在需要身份验证的所有REST调用中按原样使用它
请放心,通过登录令牌(例如csrf)检查用户和权限,您可以将登录令牌放入请求标头中,然后在后端api中进行检查。将登录令牌绑定到您自己的Restful
lib将为您节省很多代码
- 调用时的REST检查XMLHttpRequest标头,CSRF保护的某种形式REST端检查cookie,从中读取JWT并进行处理
像大多数人一样放心。另外,将csrf令牌绑定到您自己的Rest库将为您节省很多代码
在标题https://www.npmjs.com/package/express-jwt-
token中使用用户令牌
AuthorizationJWT < jwt token >
在标题https://github.com/expressjs/csurf中使用csrf令牌
req.headers['csrf-token'] - the CSRF-Token HTTP request header.
宁静的客户端https://github.com/cujojs/rest
与jwt反应https://github.com/joshgeller/react-redux-jwt-auth-
example
