我正在构建一个项目,与express-session和JWT有关,有一些问题需要解答。我有一个Express API服务器,想要使用某种API密钥来保护它,以确保只有授权应用程序能够访问我的数据。JWT可能可以胜任这个工作。然而,我还需要使用express-session对用户进行身份验证,并通过角色权限限制他们访问某些数据的部分(例如:基于角色的权限)。Next.js实例将作为前端服务器,保存并使用express-session的cookies,该会话将存储在MongoDB实例中。我是否能够在同一个项目中同时使用这两种身份验证方法?是否安全?有更简单的方法吗?如何实现权限呢?感激您所提供的任何帮助和提示。
localStorage
或任何客户端存储来获取数据。为了安全起见,会话不应以任何方式存储在数据库中,因为它需要定期刷新。您可以在 JWT 授权中保存用户 ID 和任何其他信息,例如用户名、电子邮件等,但不包括密码。这些信息应该在登录时添加到令牌中进行存储。 - MaieloAuthorization: Bearer <token>
。 - Maielo