從客戶端儲存中刪除令牌

從客戶端儲存中刪除令牌以避免使用

令牌由伺服器發出,你不能強制瀏覽器刪除 cookie / localStorage 或控制外部客戶端管理令牌的方式。顯然,如果攻擊者在登出之前竊取了令牌,他們仍然可以使用令牌,因此在伺服器端需要額外的措施 (請參閱下面的令牌黑名單策略)

餅乾

你無法強制瀏覽器刪除 cookie。客戶端可以以這樣的方式配置瀏覽器,即使 cookie 過期,cookie 仍然存在。但是伺服器可以將值設定為空,幷包含 expires 欄位以使 cookie 值無效。

 Set-Cookie: token=deleted; path=/; expires=Thu, 01 Jan 1970 00:00:00 GMT

使用 javascript 刪除’token'

document.cookie = 'token=; Path=/; Expires=Thu, 01 Jan 1970 00:00:01 GMT;';
localStorage.removeItem('token')
sessionStorage.removeItem('token')