我正在使用 Mongo、Express、React 和 Node.js 构建一个单页 Web 应用程序。用户可以注册和登录，所以我给他们一个 JWT。我知道 localStorage 不是存储令牌的最安全方式，内存存储仅在页面刷新之前有效...... 我决定将客户端的 JWT-s 放入 httpOnly cookie。我在本地主机上，所以我无法向他们发送 {secure: 'true'}。饼干到了，但有一个大问题。如果我登录一个选项卡并在隐身选项卡上登录另一个帐户，那么我可以简单地从 httpOnly cookie 复制粘贴其他用户的 JWT。 有没有办法防止这样的盗窃？ 我知道我可以使用 refresh 和 accesstoken，但也存在这个问题。我可以从另一个用户的应用程序选项卡复制它们并粘贴到我的。我该如何预防？

解决方法

暂无找到可以解决该程序问题的有效方法，小编努力寻找整理中！

如果你已经找到好的解决方法，欢迎将解决方案带上本链接一起发送给小编。

小编邮箱:dio#foxmail.com (将#修改为@）