讨论数量:
确实会存在这么几个问题
- xss 注入确实可以随意修改 local storage 中的数据,除非保存在 httponly 的 cookie 中。但是前提是 xss 注入。
- jwt 只是个 token,我只用来做身份标识,大部分情况只会保存用户 id 用于标识用户身份,所以不会越来越大,我不会当做session 使用,不会存储用户信息,以及用户权限之类的数据。
- 销毁确实是一个问题,要么使用黑名单机制,要么验证的时候判断一些标识,不通过某个时间之前颁发的 token。
我不想用 redis 维护用户 session,也做了很多防止 xss 注入的工作,jwt 只用作用户身份凭证,所以正常使用貌似并没有什么问题
推荐文章: