wind,但是我正在使用Google的Youtube v3 Data API node.js程序包登录用户并查看播放列表等。当前,当用户成功使用Google Oauth重定向流登录时,将调用路由服务器端,该路由服务器端通过url查询参数传递代码。我可以解析出来,用我的oauth2Client生成一个令牌,然后创建一个签名的jwt。现在,我将用户重定向到具有签名的jwt作为url查询参数的url,然后将其解析出浏览器端并作为令牌存储在本地存储中,这是我第一次使用与jwts相关的任何东西,并且希望成为确保我以安全的方式做事。这样的话,我不能完全确定如何将令牌服务器端发送到客户端是正确的方法,而且也不确定从哪里开始寻找。
cjh0971 回答:从服务器端向客户端发送jwt令牌的正确方法是什么?
您可以像res.cookie(key,value)
有多种方法可以将令牌从服务器端传递到客户端
1)您可以在响应中传递令牌 2)您可以在响应标头中传递令牌
,这不是正确的方法。如果服务器正在响应XHR请求(来自javascript),则服务器可以在响应正文中发送JWT。如果服务器正在响应常规浏览器请求(GET或POST,但未通过javascript处理),则将JWT放入cookie会更容易。