JWTによる認証：サーバーまたはクライアント側？

Question

JSON Webトークンの設定方法と、クライアント側で認証ロジックを実装しているすべての例（例：generator-angular-fullstack）を読んでいます。

例として、ユーザーがルートアドレスに行くだけでパーソナルダッシュボードにアクセスできるアプリを想像してみましょう。認証されていない場合、ユーザーはログインページまたはリンク先ページにリダイレクトする必要があります。 Angularアプリ全体をダウンロードし、認証とルーティングを処理し、必要に応じてログインページにリダイレクトします。

ほとんどの訪問者がアカウントを持っていないと仮定すると、なぜそれらのコードをすべてダウンロードして最終的にロギングページを表示させるのでしょうか？

単に、すでに有効なトークンを持っているユーザーに非認証されたユーザーと角アプリケーションに軽量のログインページにサービスを提供する方が良いと思いませんか？ もしそうなら、そのように実装されたサンプルがどうして見つかりませんか？

Answer 1

あなたは、フロントエンド・アプリケーションでトークンベース認証の問題の一つに直面している：クライアントからサーバへの最初の要求では、ログイン状態では、サーバーに不明です。

Angularアプリケーションのではなく、の部分は、クッキーが最初のリクエストで配信されるため、Cookie /セッションベースの認証の一般的な使用例です。このようにして、サーバは角型アプリケーションを提供するか、またはログインフォームにリダイレクトするかを知る。

あなたのログインフォームが角形アプリケーションの一部である場合、アプリケーション全体を処理する際に問題はありません。ログイン後（ユーザー名+パスワードをサーバーに送信する）、それ以降のすべての要求に使用するトークンを取得します。古典的な単一ページアプリケーションでは、追加のリロードは含まれません。