Дизайн аутентификации JWT?
Я использую пакет DjangoRest Framework simple-jwt, который находится по адресу https://github.com/davesque/django-rest-framework-simplejwt.
это обеспечивает две конечные точки API для получения токена доступа и обновления токена. В настоящее время я храню токен доступа в localStorage в браузере. Это лучшее место для хранения, или sessionStorage будет лучше?
Когда мне нужен новый токен доступа из-за истечения срока действия текущего токена доступа, я должен передать токен обновления (сохраненный в localStorage) в запросе POST? Это лучшая реализация? Кажется небезопасным хранить эту важную строку токена обновления в браузере.
1 ответ
Это работает, и да, вы передадите маркер обновления. Поскольку вы используете его для веб-приложения, я предлагаю вам сделать так, чтобы срок действия вашего токена доступа и токенов обновления истекал довольно быстро, так что он всегда генерирует новый.