从客户端存储中删除令牌

从客户端存储中删除令牌以避免使用

令牌由服务器发出,你不能强制浏览器删除 cookie / localStorage 或控制外部客户端管理令牌的方式。显然,如果攻击者在注销之前窃取了令牌,他们仍然可以使用令牌,因此在服务器端需要额外的措施 (请参阅下面的令牌黑名单策略)

饼干

你无法强制浏览器删除 cookie。客户端可以以这样的方式配置浏览器,即使 cookie 过期,cookie 仍然存在。但是服务器可以将值设置为空,并包含 expires 字段以使 cookie 值无效。

 Set-Cookie: token=deleted; path=/; expires=Thu, 01 Jan 1970 00:00:00 GMT

使用 javascript 删除’token'

document.cookie = 'token=; Path=/; Expires=Thu, 01 Jan 1970 00:00:01 GMT;';
localStorage.removeItem('token')
sessionStorage.removeItem('token')