我们如何将 JWT 令牌存储在 Http only cookie 中？

我正在创建登录模块。

1. 用户将输入用户名和密码。

2. 如果用户验证成功，服务器将返回 JWT 令牌。

3. 我将使用 JWT 令牌来验证 React js 中的不同 API 调用。

现在我担心的是，我发现了一些与此相关的文章，然后我发现我们可以使用仅 http 的 cookie。我们如何实现httponly cookie方法来存储JWT？安全吗？

HttpOnly cookie 是安全的，因为它们不会通过 Document.cookie API 受到浏览器访问，因此不会受到 XSS 攻击等攻击。

当您的用户成功验证后，服务器应该生成一个 jwt 令牌并将其作为 cookie 返回给您的客户端，如下所示：

return res.cookie('token', token, {
    expires: new Date(Date.now() + expiration), // time until expiration
    secure: false, // set to true if you're using https
    httpOnly: true,
  });

可以通过来自客户端的传入 http 请求来访问 cookie。您可以使用授权中间件功能检查 cookie 的 jwt 值，以保护您的 API 端点：

const verifyToken = async (req, res, next) => {
  const token = req.cookies.token || '';
  try {
    if (!token) {
      return res.status(401).json('You need to Login')
    }
    const decrypt = await jwt.verify(token, process.env.JWT_SECRET);
    req.user = {
      id: decrypt.id,
      firstname: decrypt.firstname,
    };
    next();
  } catch (err) {
    return res.status(500).json(err.toString());
  }
};

更多详情参考：https://dev.to/mr_cea/remaining-stateless-jwt-cookies-in-node-js-3lle https://dev.to/mr_cea/remaining-stateless-jwt-cookies-in-node-js-3lle