我有一个自由服务器与web应用程序和REST API。
两者都由openid上的Liberty server连接担保。 api接受访问令牌进行身份验证。 Web应用程序不完全是前端所以我需要自由来处理身份验证。
我正在考虑将访问令牌存储在cookie中,并让前端读取cookie并将令牌添加到任何api调用。还有更好的选择吗?
使用javascript可读cookie,我需要小心使用XSS。
您可以根据需要使用本地存储或会话存储。如果您只想将其存储在该会话中,则可以使用会话存储,其中当您要长期存储时使用本地存储。