这是一个非常流行且安全的 Web 应用认证模式,尤其适用于单页面应用 (SPA)。
核心技术
BFF (后端服务): 专门为前端应用服务。它处理业务逻辑、数据库交互,并负责认证。
登录流程:
前端将用户名和密码发送到 BFF 的登录接口 (/api/token)。
BFF 验证凭据。
验证成功后,BFF 生成一个 JWT (Access Token)。
关键点: BFF 不将 JWT 直接返回给前端的 JavaScript。相反,它将 JWT 放入一个 HttpOnly 的 Cookie 中,并发送给浏览器。
认证请求:
当浏览器向 BFF 发送后续请求(例如,获取用户信息 /api/users/me)时,它会自动携带这个 HttpOnly Cookie。
BFF 从 Cookie 中读取 JWT,验证其有效性。
如果 JWT 有效,BFF 返回受保护的数据。
登出流程:
前端请求 BFF 的登出接口 (/api/logout)。
BFF 发送一个响应,该响应会清除(删除)浏览器中的认证 Cookie。
为什么使用 HttpOnly Cookie?
安全性: HttpOnly 标志告诉浏览器,这个 Cookie 不能通过 JavaScript (document.cookie) 访问。
这可以极大地降低 XSS (跨站脚本攻击) 的风险。如果攻击者能够在你的页面上注入恶意脚本,他们也无法窃取存储在 HttpOnly Cookie 中的 JWT。
相比之下,将 JWT 存储在 localStorage 或 sessionStorage 中则很容易被 XSS 攻击窃取。
完整代码:点击打开链接
网友回复
有没有类似豆包pc端ai大模型编程代码块折叠右侧流式输出带预览的前后端代码?
nodejs有没有很快的目录爬虫和通配符文件查找库?
js如何流式输出ai的回答并折叠代码块,点击代码块右侧可预览代码?
ai大模型如何将文章转换成可视化一目了然的图片流程图图表?
大模型生成html版本的ui原型图和ppt演示文档的系统提示词怎么写?
rtsp视频直播流如何转换成websocket流在h5页面上观看?
为啥coze会开源工作流agent coze studio?
如何检测网页是通过收藏夹打开的?
python如何实现类似php的http动态脚本请求处理响应代码?
js如何实现类似php的http动态脚本请求处理响应代码?