JWT 要存储在哪里，相信很多没有经验的人对此束手无策，为此本文总结了问题出现的原因和解决方法，通过这篇文章希望你能解决这个问题。

目前成都创新互联公司已为成百上千家的企业提供了网站建设、域名、网站空间、绵阳服务器托管、企业网站设计、眉山网站维护等服务，公司将坚持客户导向、应用为本的策略，正道将秉承"和谐、参与、激情"的文化，与客户和合作伙伴齐心协力一起成长，共同发展。

JWT  是将web 应用无状态化的一种方式。

1. 首先拿到JWT Token

HTTP/1.1
POST /token
Host: galaxies.com
Content-Type: application/x-www-form-urlencoded
username=abc&password=password

服务器返回
HTTP/1.1 200 OK
{
  "access_token": "eyJhbGciOiJIUzI1NiIsI.eyJpc3MiOiJodHRwczotcGxlL.mFrs3Zo8eaSNcxiNfvRh9dqKP4F1cB",
       "expires_in":3600
 }

下次请求时，需要带上这个token，以便服务器验证。

2. 将Token存储于LocalStorage或SessionStorage

function tokenSuccess(err, response) {
    if(err){
        throw err;
    }
    $window.sessionStorage.accessToken = response.body.access_token;
}

接下来的请求需要带上Token：
HTTP/1.1
GET /stars/pollux
Host: galaxies.com
Authorization: Bearer eyJhbGciOiJIUzI1NiIsI.eyJpc3MiOiJodHRwczotcGxlL.mFrs3Zo8eaSNcxiNfvRh9dqKP4F1cB

缺点：
由于LocalStorage 和 SessionStorage 都可以被 javascript 访问，所以容易受到XSS攻击。尤其是项目中用到很多第三方的Javascript类库。
另外，需要应用程序来保证Token只在HTTPS下传输。

3. 将Token存储于Cookie

HTTP/1.1 200 OK
Set-Cookie: access_token=eyJhbGciOiJIUzI1NiIsI.eyJpc3MiOiJodHRwczotcGxlL.mFrs3Zo8eaSNcxiNfvRh9dqKP4F1cB; Secure; HttpOnly;

随后的请求需要带上Token
GET /stars/pollux
Host: galaxies.com
Cookie: access_token=eyJhbGciOiJIUzI1NiIsI.eyJpc3MiOiJodHRwczotcGxlL.mFrs3Zo8eaSNcxiNfvRh9dqKP4F1cB;

优点：
可以指定 httponly，来防止被Javascript读取，也可以指定secure，来保证token只在HTTPS下传输。

缺点：
不符合Restful 最佳实践。
容易遭受CSRF攻击 （可以在服务器端检查 Refer 和 Origin）

4. 推荐使用Cookie来存储Token

相比较而言，Web Storage比Cookie更容易受到攻击。

看完上述内容，你们掌握JWT 要存储在哪里的方法了吗？如果还想学到更多技能或想了解更多相关内容，欢迎关注创新互联-成都网站建设公司行业资讯频道，感谢各位的阅读！

本文题目：JWT要存储在哪里-创新互联
URL地址：http://pwwzsj.com/article/ddssoi.html