從客戶端儲存中刪除令牌

Created: November-22, 2018

從客戶端儲存中刪除令牌以避免使用

令牌由伺服器發出，你不能強制瀏覽器刪除 cookie / localStorage 或控制外部客戶端管理令牌的方式。顯然，如果攻擊者在登出之前竊取了令牌，他們仍然可以使用令牌，因此在伺服器端需要額外的措施 （請參閱下面的令牌黑名單策略）

餅乾

你無法強制瀏覽器刪除 cookie。客戶端可以以這樣的方式配置瀏覽器，即使 cookie 過期，cookie 仍然存在。但是伺服器可以將值設定為空，幷包含 expires 欄位以使 cookie 值無效。

 Set-Cookie: token=deleted; path=/; expires=Thu, 01 Jan 1970 00:00:00 GMT

document.cookie = 'token=; Path=/; Expires=Thu, 01 Jan 1970 00:00:01 GMT;';
localStorage.removeItem('token')
sessionStorage.removeItem('token')