стоит лучше использовать, в SPA присутствует: RBAC (роли) и возможность запретить конкретному пользователю продолжать пользоваться API (как в телеграмме отключить какое-то устройство).
Сейчас решение это API-KEY, и когда нужно отключить пользователя, то достаточно просто удалить api-key. В случае JWT нужно будет хранить список blacklisted ключей, поэтому в любом случае нельзя будет сделать, чтобы JWT работал без каких-либо операций в бд.
И где стоит хранить, в httpOnly Secure Cookies, localStorage или как вы подходите к этому решению?
Куки безопаснее, но зависит от конкретного кейса, доступ к апи проверяется обычным canActivate гардом
Какие аргументы
токенами надо пользоваться просто уметь и все будет заебок
по-моему ты чот лишнее выдумал. Зачем хранить список убитых ключей, если можно просто отдельное свойство isBanned добавить
вообще нерационально хранить все токены, имхо
Человек спросил про токен я ответил
JWT хорошо - КУКИ плоха
Обсуждают сегодня