我正在实现 OAuth(使用 rauth)并将提供 JWT 令牌(使用 flask-jwt)、javascript 前端(Angular1)。我已经为基于经典 cookie/会话的应用程序完成了它。有用。现在我想用 JWT 令牌来做。
如果我理解正确,用户将被重定向到提供商(例如 Google),登录帐户,我的服务器和提供商会发挥作用,然后提供商将用户重定向回我的页面。现在我得到了用户配置文件,这结束了 OAuth 部分。在正常会话中,您为用户提供 cookie 和其他设置会话的内容,然后将他重定向到主页。
这就是我卡住的地方。提供者将他送回后,如何给用户 JWT 令牌有什么好的做法吗?在重定向到主页时将其作为 cookie 提供给用户?把它放在标题中?据我所知,我需要 javascript 将令牌保存到 LocalStorage/SessionStorage。
在一天结束时,用户将被重定向回我们的应用程序,现在需要呈现一个页面。我看到的唯一选择是将 JWT 作为 cookie 返回,因为在 Javascript 中无法访问响应标头,唯一的其他地方是将其嵌入到 DOM 中,这将使其容易受到 CSRF 攻击。
当浏览器从 OAuth 提供者重定向时,它只会有一个访问代码,可以在服务器端交换访问令牌。但最佳实践表明您需要将该访问令牌保密(而不是将其传递回浏览器)。
关于 cookie 与本地/会话存储中的 JWT 存在很多争论,但在这个用例中,除了使用 cookie 之外,我没有看到任何其他选择。我看到的所有描述使用浏览器存储的用例都假设正在发出 XHR 请求以获取 JWT。但这不是 OAuth 流程中的选项,因为整个浏览器刚刚被重定向回我们的应用程序。
除了将 JWT 保存在 cookie 中以用于未来的 API 调用之外,我没有看到其他选项(用于 OAuth 用例)。但也许我错过了一些东西。
在将控制权传递给 Facebook auth 之前,您可以启动与 API 的套接字连接,然后可能会在您的应用中显示加载状态。之后让 Facebook 做这件事。当它成功时,它会将数据发布到您的后端。您的后端会处理它并使用它之前创建的套接字将 JWT 传递给前端。这看起来工作量太大,如果您没有正确执行,可能会带来额外的错误。