这是一个非常流行且安全的 Web 应用认证模式,尤其适用于单页面应用 (SPA)。
核心技术
BFF (后端服务): 专门为前端应用服务。它处理业务逻辑、数据库交互,并负责认证。
登录流程:
前端将用户名和密码发送到 BFF 的登录接口 (/api/token)。
BFF 验证凭据。
验证成功后,BFF 生成一个 JWT (Access Token)。
关键点: BFF 不将 JWT 直接返回给前端的 JavaScript。相反,它将 JWT 放入一个 HttpOnly 的 Cookie 中,并发送给浏览器。
认证请求:
当浏览器向 BFF 发送后续请求(例如,获取用户信息 /api/users/me)时,它会自动携带这个 HttpOnly Cookie。
BFF 从 Cookie 中读取 JWT,验证其有效性。
如果 JWT 有效,BFF 返回受保护的数据。
登出流程:
前端请求 BFF 的登出接口 (/api/logout)。
BFF 发送一个响应,该响应会清除(删除)浏览器中的认证 Cookie。
为什么使用 HttpOnly Cookie?
安全性: HttpOnly 标志告诉浏览器,这个 Cookie 不能通过 JavaScript (document.cookie) 访问。
这可以极大地降低 XSS (跨站脚本攻击) 的风险。如果攻击者能够在你的页面上注入恶意脚本,他们也无法窃取存储在 HttpOnly Cookie 中的 JWT。
相比之下,将 JWT 存储在 localStorage 或 sessionStorage 中则很容易被 XSS 攻击窃取。
完整代码:点击打开链接
网友回复
我知道答案,我要回答
私活外包
最新提问
阿里云ESA、cloudflare worker、腾讯云EdgeOne网站代理托管哪家更好?
剪映能打开.fcpxml格式的文件吗?
增量式编码器与绝对式编码器的区别是啥?
有没有开源的单张照片或者序列帧图片或视频就能重建4d场景动画项目?
chrome网页突然报错:错误代码:RESULT_CODE_KILLED_BAD_MESSAGE
openai的codex如何全程无需手动确认自动修改文件?
阿里云oss前端上传文件直传如何限制文件类型?
阿里云oss前端获取policy签名直传oss上传文件回调如何传?
如何将根据三维物体通过提示词变成可交互的4d场景动画?
浏览器中实时摄像头离线视觉ai模型有吗?
