既存のログイン承認ベースのWebサービスをToken認証に変更したくJWTの実装を検討しており勉強中ですが、
サーバーサイドは何となくイメージ出来たのですが、ブラウザー(クライアント)の実装がいまいち腑に落ちないです。
既存のログイン認証機構はセッション情報を保持しており、cookieにセッションIDを保存するレガシーな実装ですが、
JWTの場合、サーバーにて発行したtokenをlocalStorageに保存した場合、Authorization送出処理を毎回自前で
実行する必要があるのでしょうか?
たとえば、認証を必要としたhttps://hogehoge.com/fuga.php
の結果を得たい場合、
- localStorageからtokenを取得
- 取得したtokenをAuthorizationヘッダー送信
- response結果を踏まえて、fuga.phpをリクエスト送信
(事前にログイン成功後、サーバーからtokenを返却しlocalStorageに保存しています)
質問)
httpdはステートレスなので2.と3.の連続性の確認はサーバー側では出来ない筈ですし、
2.と3.がいまいち不明です。
Authorizationとpathを同時に送出可能なのでしょうか?
また、cookie保存時はリクエスト時に自動的に送出され、fuga.phpでは$_COOKIE連想配列で取得出来ますが、
Authorizationの場合も自動で送出される仕様なのでしょうか?
主にクライアント側の実装が分からず悩んでおります。
説明が下手で申し訳ないですが、宜しくお願いします。
あなたの回答
tips
プレビュー