我正在使用express服务器路由的下一个应用程序,当我点击登录或其他api调用它显示在网络中。并且api是公开的。
我的意思是,如果有人尝试使用邮差,他可以得到他想要的一切。
问题是>如何保护下一个应用程序(快速路线,axios呼叫)?
是否有任何方法为@nuxt/auth不保存JWT打开在本地存储?
不需要隐藏关于客户端调用的任何内容。因为这就是前端框架的工作方式(你的API路由也不应该被隐藏,没有必要多疑)。
如果您想提供一些安全的东西,您确实可以使用JWT身份验证,它将作为您所有axios调用的标头发送。
更多信息可以在这里找到。要知道的一件好事是,有人不太可能入侵你的客户端浏览器从他们的cookie中获取JWT(比localStorage
更安全),但如果你觉得这是一个巨大的可能性,把令牌的过期时间降低到1分钟。
然后,你可以在你的访问令牌旁边带一个刷新令牌,以确保它被刷新,而不要求用户再次通过登录页面。
PS:一些关于你最喜欢的搜索引擎的阅读将是强制性的,以理解如何在客户端应用程序中实现一个好的JWT流的所有概念。