这是一个非常流行且安全的 Web 应用认证模式,尤其适用于单页面应用 (SPA)。
核心技术
BFF (后端服务): 专门为前端应用服务。它处理业务逻辑、数据库交互,并负责认证。
登录流程:
前端将用户名和密码发送到 BFF 的登录接口 (/api/token)。
BFF 验证凭据。
验证成功后,BFF 生成一个 JWT (Access Token)。
关键点: BFF 不将 JWT 直接返回给前端的 JavaScript。相反,它将 JWT 放入一个 HttpOnly 的 Cookie 中,并发送给浏览器。
认证请求:
当浏览器向 BFF 发送后续请求(例如,获取用户信息 /api/users/me)时,它会自动携带这个 HttpOnly Cookie。
BFF 从 Cookie 中读取 JWT,验证其有效性。
如果 JWT 有效,BFF 返回受保护的数据。
登出流程:
前端请求 BFF 的登出接口 (/api/logout)。
BFF 发送一个响应,该响应会清除(删除)浏览器中的认证 Cookie。
为什么使用 HttpOnly Cookie?
安全性: HttpOnly 标志告诉浏览器,这个 Cookie 不能通过 JavaScript (document.cookie) 访问。
这可以极大地降低 XSS (跨站脚本攻击) 的风险。如果攻击者能够在你的页面上注入恶意脚本,他们也无法窃取存储在 HttpOnly Cookie 中的 JWT。
相比之下,将 JWT 存储在 localStorage 或 sessionStorage 中则很容易被 XSS 攻击窃取。
完整代码:点击打开链接
网友回复
我知道答案,我要回答
私活外包
最新提问
webrtc进行p2p连接发送的文本音视频文件是否是加密的?
如何让一个可爱的三维动物通过three在浏览器中有表情动作的自然说话?
go与wails如何开发一个高性能的原生桌面应用?
python如何调用openai的api实现知识讲解类动画讲解视频的合成?
html如何直接调用openai的api实现海报可视化设计及文本描述生成可编辑海报?
f12前端调试如何找出按钮点击事件触发的那段代码进行调试?
abcjs如何将曲谱播放后导出mid和wav格式音频下载?
python如何将曲子文本生成音乐mp3或wav、mid文件
python中mp3、wav音乐如何转成mid格式?
js在HTML中如何将曲谱生成音乐在线播放并下载本地?
