где хранить информацию после аутентификации с использованием JWT

Question

Я новичок в аутентификации.У меня есть приложение, которое после входа в систему отправляет учетные данные на сервер и сервер генерирует токен JWT и отправляет его обратно клиенту (мобильному устройству).

Это мой вопрос: после того, как у меня будет JWT, где мне хранить информацию о предстоящих запросах?например, если я хочу отправить запрос POST, у меня есть два подхода:

1. сохранить необходимую информацию в запросе body
2. после кодирования информации в формате JSONв Base64 затем сохраните его на payload из JWT

возможно я ошибаюсь и это не решения.Я просто хотел узнать, что является лучшим (стандартным) подходом для этой работы?

Answer 1

Маркер JWT следует отправлять как токен-носитель с каждым запросом, который клиент отправляет на сервер.

обычно он добавляется в заголовок авторизации с использованием схемы Bearer.

Authorization: Bearer <token>

Более подробное описание токенов JWT см. https://jwt.io/introduction/

Answer 2

токены JWT должны отправляться туда и обратно для каждого запроса, и, как указано в комментариях, вы не можете их изменять.

Токен можно отправить как токен-носитель в заголовке авторизации.

Authorization : Bearer <token>

Для параметров запроса, которые вы выполняете, вы можете отправить их.как часть тела запроса на сообщение.

И на дополнительном примечании ваши запросы все еще будут уязвимы для CSRF.Вы можете использовать любые библиотеки csrf для генерации токена csrf.Это обеспечит лучшие аспекты безопасности для вашего приложения.