我正在开发一个聊天应用程序,在用户登录后, 我将完整的用户信息存储在本地存储中,如下所示:
我也在使用JWT来授权用户.
那么,在本地存储中只存储JWT会更好吗? 并使用JWT从后端检索用户信息? 对这类事情的最佳解决方案是什么?
这是存储用户信息的好方法吗?还是应该使用其他方法,如Cookie?
目前我已经实现了将完整的userInfo存储到本地存储,但我认为这不是一个好做法.
因此,您的意见在这里非常重要.
我正在开发一个聊天应用程序,在用户登录后, 我将完整的用户信息存储在本地存储中,如下所示:
我也在使用JWT来授权用户.
那么,在本地存储中只存储JWT会更好吗? 并使用JWT从后端检索用户信息? 对这类事情的最佳解决方案是什么?
这是存储用户信息的好方法吗?还是应该使用其他方法,如Cookie?
目前我已经实现了将完整的userInfo存储到本地存储,但我认为这不是一个好做法.
因此,您的意见在这里非常重要.
It's quite common to store the JWToken in a cookie and even send said cookie to the server in requests (instead of adding the auth header).
Using a secure cookie (HttpOnly, SameSite=strict, secure) is more secure than localStorage, while there is always risks with storing credentials on the client.
当涉及到用户信息时,如果您需要的信息不是太多,那么其中一些实际上可以作为自定义声明存储在JWT中.这样,您不需要从数据库获取"基本数据",而只需在解析(和验证)后从JWT访问它.