我有一个JWT存储如下,我想知道-有一个future 30天的到期日期,并将JWT存储在Cookie中是否安全?
我希望它比一个会话持续更长的时间,类似于一些网站的"让我保持登录"功能.
我设置了samesite:Strong和httpOnly来缓解XSS和CSRF.
我正在使用NextJS
let resp = NextResponse.json({v:"returnedJSON"})
var date = new Date();
date.setTime(date.getTime() + (30 * 24 * 60 * 60 * 1000)); // in milliseconds ==30d
resp.cookies.set('token', jwtTokenString, {
httpOnly: true,
path: '/',
secure: true,
expires: date,
sameSite: 'strict'
});