Escribí una API de Golang que está protegida por JWT Tokens. La API en sí misma está basada en JSON y devuelve una cookie de tiempo limitado y firmada.
Quiero comenzar a construir el webui para la API ahora, y estoy pensando en cómo almacenar el JWT para autenticar contra la API. Dado que las cookies tienen muchos problemas, como CSRF, quería descubrir una nueva forma de autenticarse sin usar cookies.
La API actual busca el encabezado de autorización. Mi solución sería iniciar sesión en un formulario web (y validar las credenciales del usuario) y luego generar el token. Luego, el token se agrega como encabezado y siempre se pasa cuando se mueve a un sitio nuevo. Todos los sitios que requieren autenticación comprueban si el encabezado de autorización es válido y permiten o deniegan el acceso.
Sin embargo, no estoy seguro de que este enfoque sea realmente seguro; si alguien tiene experiencia con el uso de JWT para WebUI y me puede ayudar, ¡eso sería realmente genial! Sin embargo, preferiría no usar un marco si no ahorra mucho trabajo.