请教一下 JWT 在前后端分离下的实现

2018-01-28 12:14:05 +08:00
 whx20202

最近做一个简单的网站,需要登录功能,打算使用 JWT。

昨天看了好多相关资料,对其数据结构大致了解了一下。 有个网站说 JWT 存储在浏览器本地,有 localstorage 和 cookie 两种方式,cookie 如果设置 http-only 更加安全。

那我就打算采用 cookie + http-only 了。

问题是由于某种原因,我的网站是完全前后端分离的,这里指的是一个模板都不能渲染,全部 jquery 异步接口。

现在问题是: 我如果登录首页,这是个静态页面,只有 js 能干活。而 cookie 又是 http-only 的,我怎么知道:

  1. 我是谁?(类比百度首页右上角有自己的 ID )
  2. 如果不访问后台异步接口的话,纯 js 怎么知道自己的 JWT 有没有过期?

还往各位不吝赐教

4339 次点击
所在节点    问与答
10 条回复
vx2e
2018-01-28 12:24:52 +08:00
前后端分离 通信异步请求数据的时候把 cookie 传给服务端就可以了啊 具体怎么带 cookie 资料很多 搜一下就有
htfy96
2018-01-28 12:47:37 +08:00
1. 请求一下 GET /user/me
2. 定期 renew token
hcymk2
2018-01-28 12:56:52 +08:00
JWT 用 cookie 又是 http-only 意义就不大了, 因为 JWT 不只是一个 token,里面还含有其他信息,用来本地缓存。
hanzichi
2018-01-28 13:40:07 +08:00
说一下我的理解,可能有误

token 主要是为了防 csrf 攻击,如果是 cookie 存的话,不是防不了了么。。
sunjourney
2018-01-28 13:42:13 +08:00
http-only,你的 cookie 只能是提供给后端做校验了。可以 request http://api.xx.com/auth 拿到我是谁,权限有啥,前端就不直接碰 JWT 了。
fqwerl
2018-01-28 14:56:10 +08:00
通常使用 JWT 的目的之一就是不想使用 cookie/session 机制(安全问题,后端扩展问题等),cookie 越来越不受欢迎了,最好还是把 jwt 放内存或者 local storage 里
whx20202
2018-01-28 14:59:56 +08:00
@fqwerl 有些教程说,JWT 的目的有两个:
1. 如果后端是多个 web 服务器,传统的 session 就不好使了,得加一层 redis,所以采用 JWT
2. 违背 RESTful 风格
第一个我理解,第二个是不是跟你说的原因一样?能简单解释下吗?
hcymk2
2018-01-28 16:36:39 +08:00
JWT 的安全成本更高,当 JWT 保存在 Local Storage 时,更容易被 xss,而且要想根除 xss 的威胁要前后端都要做大量细致的工作。而 JWT 放在 cookie ( http-only )中的话,这样其实和传统的 cookie/session 机制基本没有什么区别。
nl101531
2018-01-28 20:21:34 +08:00
请求 user/me,拿到信息后放 sessionStorge 中。jwt 只用来认证。

另外顺便问下 jwt 多密钥怎么搞?
ivydom
2018-01-28 23:26:55 +08:00
https://github.com/Authing/authing 最近做了个云端用户认证系统 使用了 jwt 楼主可以参考

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/426538

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX