Invece di utilizzare un cookie, sto utilizzando un token JWT che viene inviato con ogni richiesta. Ogni richiesta è una richiesta POST in modo che il token non venga salvato nella cronologia del browser.Utilizzo di JWT anziché Cookie sul sito abilitato SSL
È un'app a pagina singola.
Il token si presenta come:
{
userId: 12345678,
expires: <UNIX timestamp>,
otherInfo: <something>
}
Tutto è SSL. Il token viene creato sul server quando l'utente si collega.
Questo sarebbe un buon modo per sostituire un cookie o vede qualche difetto?
Perché la cronologia del browser potrebbe rappresentare un problema per un'app a pagina singola anche per le richieste GET? Le richieste AJAX non atterrano nella cronologia del browser. Ma meglio inserire il token nell'intestazione "Autorizzazione" in ogni caso, in modo che non venga visualizzato accidentalmente nei log di accesso se si utilizza GET dopo tutto. –