会话过期后仅使用 Http cookie 用户身份验证

Question

堆栈：

• 前端= Vue
• 后端= Strapi（基于节点的cms）+ postgresql

我已经构建了一个仅使用http cookie的身份验证机制。用户登录，然后将一个仅 http 的 cookie 发送给用户。用户将其保存在浏览器中，但无法使用 javascript 访问它。因此，cookie 或多或少受到了 xss 的保护。

问题是；当用户离开网站并在 2 天后返回时，客户端的身份验证布尔值仍然表示用户已通过身份验证。但实际上 cookie 已经过期了。我想检查 cookie 是否有经验，但这是不可能的，因为它只是 http，客户端代码无法访问。

你们如何解决这个问题？有哪些最佳实践？

干杯

我考虑过在分发饼干的那一刻设置一个计时器或日期戳。但这意味着我会不断检查。

Answer 1

我有类似的设置。正如您提到的，JavaScript 不可能访问 http cookie，并且在 cookie 过期期间运行计时器也不是很理想。

我所做的就是不执行任何操作，直到用户执行需要身份验证的操作（例如，单击对后端执行 HTTP GET 的按钮）。用户执行此操作后，如果 cookie 已过期，我会从后端获取 302、401 或 403 HTTP 状态代码之一，当发生这种情况时，Javascript 获取请求中的 .then 块会重定向到身份验证服务器因此用户再次登录以获取新的 cookie，然后继续执行原来的操作。

并不是说这是最好的方法，但它对我来说效果很好。希望这有帮助。