LoopBack 3 и SPA - где хранить токен?

Question

У меня есть несколько вопросов о процессе входа в систему LoopBack 3 и современных SPA

1. Маркер доступа, сгенерированный из пользователей / логин , равен JWT ?
2. Как правильно (безопасно) сохранить токен , сгенерированный из users / login на современной SPA стороне ? Просто сохраните их в localStorage или Cookies и после прочтения прикрепите их к запросам API?

Answer 1

1. AccessToken, сгенерированный Loopback, не является JWT. Он не содержит зашифрованных пользовательских данных.

2. Вы можете сохранить его как cookie в браузере и прикрепить к последующим запросам API.

Обычно я использую Redis для хранения своих маркеров доступа, чтобы на сервере не было состояния. Это лучшее решение, если у вас настроено автоматическое масштабирование.