我正在制作一个全栈Web应用程序。我的前端由angular-cli组成,而后端则由node + express构建。
我设法通过使用JWT令牌来进行身份验证(读取:注册和登录)。此时,此令牌存储在localStorage中。这使得用户可以共享其令牌,或者令牌可能被恶意用户窃取。
我使用令牌来阻止/允许用户遵循前端中的某些路由,并授权某些api调用。
是否可以通过某种方式使此JWT令牌更安全,还是应该采用其他方式进行身份验证/授权?
谢谢。
答案 0 :(得分:1)
您可以在每次打扰之后刷新令牌。否则,您可以获取用户的身份并将令牌存储在用户信息中
更多信息链接:https://auth0.com/docs/connections/calling-an-external-idp-api
我希望这会对您有所帮助。