我有一个带有Web应用程序和REST API
的Liberty Server。
两者均通过openid
Connect在Liberty server
上确保。API接受身份验证的访问令牌。Web应用程序并非完全是前端,因此我需要自由来处理身份验证。
我正在考虑将访问令牌存储在cookie中,并让前端读取cookie并将令牌添加到任何API调用中。有更好的选择吗?
使用JavaScript可读cookie,我需要小心XSS
。
您可以根据要求使用本地存储或会话存储。如果您只想将其存储在该会话中,则可以使用会话存储,其中要长期存储时使用本地存储。