Как правильно отправить токен jwt со стороны сервера на сторону клиента?

Question

Давно, но я использую пакет Googles Youtube v3 Data API node.js для входа в систему и просмотра плейлистов и тому подобного. В настоящее время, когда пользователь успешно входит в систему с помощью потока перенаправления Oauth, вызывается сторона сервера маршрутизации, которая передает код по параметрам URL-запроса. Я могу разобрать это, сгенерировать токен с моим oauth2Client, а затем создать подписанный jwt. Прямо сейчас я перенаправляю пользователя на URL с подписанным jwt в качестве параметра запроса url, который затем анализируется на стороне браузера и сохраняется как токен в локальном хранилище. Я впервые использую все, что связано с jwts, и хочу, чтобыуверен, что я делаю вещи безопасным способом. Будучи таковым, я не совсем уверен, что то, как я отправляю токен-серверную часть клиентской стороне, является правильным способом, и я не совсем уверен, с чего начать.

Answer 1

Вы можете передать в ответ как res.cookie(key, value)

Answer 2

Это не правильный путь. Если сервер отвечает на запрос XHR (поступающий из javascript), то сервер может отправить JWT в теле ответа. Если сервер отвечает на обычный запрос браузера (GET или POST, но не обрабатывается javascript), проще поместить JWT в файл cookie.

Answer 3

Существует несколько способов передачи токена со стороны сервера на сторону клиента.

1) вы можете передать токен в своем ответе 2) вы можете передать токен в заголовке ответа