董峻珲(Admin) 发布于:2026-02-10 14:20:00
记得防 CSRF 和 XSS 攻击,设置合适的 SameSite 和 HttpOnly。
OAuth2 的四种模式要理解清楚,授权码模式最常用也最安全。
可以考虑 JWT 和 Session 结合,短期用 JWT,长期用 Session。
HTTPS 是必须的,防止 token 被中间人攻击。
敏感操作一定要二次验证,单纯靠 token 不够安全。
JWT 要设置合理的过期时间,并考虑刷新令牌机制。
OAuth2 适合第三方登录,自己系统的用户登录用 JWT 或 Session 就行。
Session 更安全,但需要共享存储如 Redis,增加了复杂度。
JWT 无状态适合分布式系统,但令牌撤销比较麻烦。
记得防 CSRF 和 XSS 攻击,设置合适的 SameSite 和 HttpOnly。
OAuth2 的四种模式要理解清楚,授权码模式最常用也最安全。
可以考虑 JWT 和 Session 结合,短期用 JWT,长期用 Session。
HTTPS 是必须的,防止 token 被中间人攻击。
敏感操作一定要二次验证,单纯靠 token 不够安全。
JWT 要设置合理的过期时间,并考虑刷新令牌机制。
OAuth2 适合第三方登录,自己系统的用户登录用 JWT 或 Session 就行。
Session 更安全,但需要共享存储如 Redis,增加了复杂度。
JWT 无状态适合分布式系统,但令牌撤销比较麻烦。