Как запоминать пользователя используя JWT?

Question

[Nube]

Добрый день ! Как можно запомнить пользователя используя только JWT, что бы он авторизовался только раз.
Если быть точнее можно ли заставить что бы браузер вместе с запросом передавал и jwt заголовки ?
Наподобие того что происходит с куками.
Я хочу реализовать следующее,
На сервер приходит запрос
сервер определяет есть ли jwt
если есть
проверить его на валидность, дать доступ к странице
иначе
пользователь не авторизован -> предложить авторизоваться .
Я знаю что можно отослать используя js, но для этого нужно что бы загрузился js, а так не пойдет.

Comments

[Tyranron]

А может Stop using JWT for sessions?

Answer 1

[Pavel Shvedov]

Сохрани токен в куки, если устраивает их поведение, и читай из передаваемых браузером кукисов обратно

Comments

[Nube]

Думал об этом , но куки нельзя .

[Roman K]

Nube, ващет куки — это самый секьюрный способ хранения JWT на клиенте

[Alexander Leonchik]

Nube, главяная проблема кук это SCRF атака, сделайте так что бы она не произошла и будет все хорошо. Если их не трогает JS повесьте флаг на куку что бы она не доступна была для JS