答案:现代Web应用中JWT管理需兼顾安全与可用,首先登录后将令牌存入localStorage或内存,通过拦截器自动在请求头添加Authorization,结合exp字段判断过期并实现刷新机制,服务端验证签名且避免存储敏感信息,防范XSS与CSRF风险。
在现代Web应用中,JWT(JSON Web Token)被广泛用于用户身份认证和状态管理。使用JavaScript进行JWT令牌的管理时,需要兼顾安全性、可用性和可维护性。以下是一套实用的JWT管理方案。
1. 令牌的获取与存储
用户登录成功后,服务器通常会返回一个JWT。前端需妥善保存该令牌,以便后续请求使用。
建议做法:
- 使用 localStorage 存储JWT,适合持久化场景,但注意防范XSS攻击。
- 若安全性要求高,可考虑每次会话使用 sessionStorage 或内存变量,关闭页面即失效。
- 避免将令牌存入Cookie(除非设置HttpOnly和Secure),以减少CSRF风险。
示例代码:
立即学习“Java免费学习笔记(深入)”;
const saveToken = (token) => {localStorage.setItem('auth_token', token);
};
const getToken = () => {
return localStorage.getItem('auth_token');
};
2. 令牌的发送与拦截
每次向受保护的API发起请求时,需在请求头中携带JWT。
实现方式:
以axios为例:
import axios from 'axios';
const api = axios.create({
baseURL: '/api'
});
api.interceptors.request.use((config) => {
const token = getToken();
if (token) {
config.headers.Authorization = `Bearer ${token}`;
}
return config;
});
export default api;
3. 令牌的刷新与过期处理
JWT通常设有有效期,前端应能识别过期并尝试刷新。
关键策略:
- 解析JWT payload 中的 exp 字段,提前判断是否即将过期。
- 当接口返回401时,触发刷新流程(调用refresh token接口)。
- 刷新成功则更新令牌并重试原请求,失败则跳转登录页。
简单判断是否过期:
const isTokenExpired = (token) => {const payload = JSON.parse(atob(token.split('.')[1]));
return payload.exp * 1000 < Date.now();
};
4. 安全注意事项
JWT虽方便,但使用不当易引发安全问题。
必须注意:
- 不要在JWT中存放敏感信息(如密码、手机号),因payload可被解码。
- 始终在服务端验证签名,不可信客户端自声明内容。
- 设置合理的过期时间,配合refresh token机制提升安全性。
- 防止XSS:对输入内容做转义,或使用Content Security Policy(CSP)。
基本上就这些。一套清晰的JWT管理方案,核心是安全地存取、自动发送、智能刷新和及时清理。结合实际项目需求调整细节,才能保障用户体验和系统安全。
