前端我们的token之前都是在前端浏览器保存的,但是现在需要我们node代码做服务转发,要求token保存在node服务,只返回给前端数据就行了。我觉得没有这个必要吧,这不是徒增工作量吗? token本来就是根据时间等等一系列加密算出来的,即使被其他人抓取也不能破解到用户信息吧?
###- 安全
- 基本上,所有乱七八糟的保存 token 思路都很脑残
- 就前端保存 token,提交 token,后端验证就好。想防止 csrf,就带上一个非标准请求,或者 SameSite
这都谁提出来的奇葩思路啊,前端不带 token ,那 node 怎么验证客户端的真伪?