我是一个学习MERN堆栈的相对较新的开发人员。当前在决定持久登录方法时遇到问题。关于快速会话,我知道设置 maxAge 选项将允许浏览器在所述毫秒后删除 cookie。
但是,尽管有用户活动,但这可能会导致糟糕的用户体验。我还了解有一个滚动选项,允许每个请求都有新的cookie。但是,这引入了一个安全漏洞,因为 cookie 可以不断刷新。
是否有一套针对持久登录/会话的最佳实践?
一种常见的做法是使用 JWT 令牌。您可以创建active令牌并refresh令牌,并将refresh令牌设置为具有较长的过期时间。
下面是 Auth0 的一篇文章,其中提供了 JWT 令牌的摘要以及如何使用refresh令牌来保持用户身份验证。