我对REST相当陌生,我正在开发一个使用Angular的SPA,而后端是用laravel编码的。到目前为止,我在互联网上发现的唯一一种身份验证是通过JWT,但我也读到它们有点不安全,可能会被盗。JWT是在SPA中验证用户的唯一方法吗?还有什么更安全的方法?。
谢谢!
使用Laravel圣地。
Laravel Sanctum为SPAs(单页应用程序(、移动应用程序和简单的基于令牌的API提供了轻量级身份验证系统。Sanctum允许应用程序的每个用户为其帐户生成多个API令牌。这些令牌可以被授予指定允许令牌执行哪些操作的能力/作用域。
并且Laravel Sanctum不使用jwt,Sanctum也不使用任何类型的代币。相反,Sanctum使用Laravel内置的基于cookie的会话身份验证服务。这提供了CSRF保护、会话身份验证以及防止通过XSS泄露身份验证凭据的好处。只有当传入请求来自您自己的SPA前端时,Sanctum才会尝试使用Cookie进行身份验证。