我曾经在我的网站上有一个自定义的身份验证实现。我使用NestJs作为后端,当我登录时,后端响应访问令牌,将刷新令牌设置为http仅在刷新路径上受限的cookie,一旦访问令牌过期,它将刷新访问令牌。现在我使用NextAuth, Nest不能再设置cookie了。我想知道刷新令牌的最佳实践是什么?我应该把饼干放到前面吗?
不打扰我改变逻辑和后端,只是想要最安全和最佳实践。
现在我使用NextAuth, Nest不能再设置cookie
Nest将把cookie发送给浏览器。并且由于您正在使用next,您将在某些时候从getStaticProps或getServerSidePros内部发送请求,但这些功能在服务器上运行,因此它们与浏览器没有任何关系,因此它们不会发送回cookie。
我的建议是也发送你的refreshToken在response和存储在下一个验证session,这样你就可以从任何你想在你的下一个应用程序中使用useSession()访问他们
我不介意改变逻辑
not a lot
只想要最安全的最佳实践
在浏览器中安全地存储JWT令牌是不可能的。看到