我正在尝试为后端和前端实现jwt身份验证。我有两个应用程序(.net核心mvc(,一个是后端,另一个是前端
我发送登录请求,然后我获得访问和刷新令牌等。这些部分都可以。
问题:但问题是前端不知道我有来自后端API的令牌,这就是为什么前端还没有创建会话的原因。所以我无法将用户重定向到网站的保护区[授权]
我想到的第一件事是,在我从后端API获得访问令牌后,应该通过ajax将其发布到前端控制器。让我们说"/帐户/登录;这个前端控制器将验证令牌(因为它和后端有相同的密钥(,然后它将为该用户创建会话,并从ajax调用返回成功。
这种登录流的方法正确吗?有其他选择吗?
您的用户如何与后端应用程序交谈?直接还是通过前端应用程序?我认为他们会向前端应用程序发出请求,而前端会与后端进行对话。在这种情况下,前端可以轻松地为用户创建会话,并将来自后端的令牌与会话相关联。
如果用户直接与后端应用程序对话,那么我同意你的想法——后端应用程序必须以某种方式通知前端应用程序,它现在有了用户的令牌。
另一个解决方案是创建一些共享会话机制(有一些现成的解决方案(。您的后端应用程序可以创建共享会话并将令牌与之关联,然后前端应用程序可以使用相同的共享会话。