Estoy tratando de averiguar cómo usar los JWT que se transmiten en las cookies para un SPA. Debe estar en las cookies porque queremos que las solicitudes que no son ajax también envíen el jwt, y debería "funcionar" para todos. subdominios Tengo la cookie con el token que se genera y actualiza bien en el lado del servidor. Lo que estoy tratando de averiguar es cómo el lado del cliente debe obtener la información (is_logged_in y el nombre de usuario del usuario que inició sesión) y mantener esa información sincronizada con el ciclo de vida de la cookie del lado del servidor, ya que quiero que caduque después de 1 hora de ninguna solicitud, y debería aparecer en el navegador cuando eso sucede. Mi problema es que la información de usuario que quiero está en una cookie que es http_only para evitar XSS. He pensado en un par de opciones y me gustaría recibir opiniones sobre lo que es un compromiso de seguridad razonable:
1) envíe el token jwt idéntico en dos cookies, una utilizada para la autenticación real del servidor y amp; auth, que está marcado como http_only y seguro, y un segundo que es idéntico pero no es http_only, por lo que el cliente puede decodificarlo para obtener la información actual del usuario y el tiempo de caducidad.
2) envía la información del usuario en una segunda cookie que no es http_only y se ve a simple vista, pero que solo tiene un nombre de usuario registrado.
3) intenta que el cliente realice un seguimiento de la información de inicio de sesión por sí solo, esto parece problemático hasta ahora y es fácil de usar pero no tiene cookies inseguras volando por ahí.
Estoy pensando que me podría estar perdiendo algún aspecto de seguridad de las opciones anteriores, por lo tanto, pregunte aquí. gracias!