на авторизацию попадает в следующий запрос клиента уже к функциональности сервера?
просто пытаюсь разобраться, вроде написал авторизацию, хочется перейти уже к самому бекенду, но как на фронте будет использоваться токен - не очень пойму. Пришёл клиенту в json его токен, он этот токен должен сам записать себе в хедеры? Или логика другая? А в браузере этот процесс автоматизирован?
куки?
так вроде смысл jwt чтобы куками не пользоваться, нет?
Смысл в том чтобы не хранить сессии. Как вариант можно хранить аксес токен в переменной и ручками добавлять в хедеры. А рефреш в кукисах
Часто клиент в заголовке bearer проставляет. Почитайте oauth2.
Нет. Смысл jwt в том, чтобы при каждом запросе не лазать в сервис аутентификации. При использовании jwt куки так и так используется. В httponly secure куке хранится refresh-токен
и тогда уже например на фронте я тыкнусь в авторизацию, вставлю токен в хедер и дальше буду делать свои запросики, верно?
Да, если подразумевает ttl, то ещё и refresh не забывать.
Да. В axios(библа для запросов) можно настроить авто добавление токенов в хедеры
подразумевается сделать диплом за 4 дня, извините уж за оффтоп xD
Там можно даже через интерсепторы настроить ротацию токенов
Да как угодно, заоголовок, куки, хоть боди или параметр
обычно header с авторизацией
Куки, параметр авторизации в шапке запроса
https://gist.github.com/zmts/802dc9c3510d79fd40f9dc38a12bccfc
Обсуждают сегодня