如果REST API使用基于cookie的身份验证，那么如何将相同的API用于移动应用？

Question

我正在使用Node开发一个带有REST API的SPA web应用程序。我在很多资料中读到，JWT不应该存储在浏览器的localStorage中，而应该使用设置了httpOnly标志的cookie来设置。我还读到过移动应用程序和SPA应该使用基于令牌的身份验证。

如果我应该使用基于令牌的身份验证，我应该将令牌存储在客户端的哪里？

虽然可以在web客户端中设置cookie，但在为移动客户端开发客户端时，如何使用相同的REST端点？我不确定移动应用程序是否使用cookie的概念。

我们将非常感谢您的建议。

Answer 1

我认为您的应用程序应该首先检查令牌的cookies，如果它不在那里，然后检查请求Authorization头。