安全建议
JWT Token 保护
- 不要把 JWT 写死在前端代码里。
- 不要在浏览器环境暴露 JWT。
- 建议通过后端服务代理调用 RFQ HTTP API。
传输
- 生产环境必须使用 HTTPS。
存储
- 避免把 JWT 存到容易被窃取的位置(例如
localStorage)。 - 更推荐服务端密钥管理或
httpOnlycookie 方案。
轮换
- 建议定期轮换 JWT。
日志
- 不要打印 token。
- 错误上报时对敏感字段脱敏。
localStorage)。httpOnly cookie 方案。