Es gibt viele Vorteile, wenn Sie JWT über Cookies in API-zentrierten Apps verwenden, und ich verstehe, dass Sie das Token in sessionStorage speichern können, wenn Sie über einen Browser auf die App zugreifen. Sie können einen Interceptor in Ihrem JS-Code festlegen, um das JWT-Token in den Authorization-Header für GET-Anforderungen einzufügen, sofern diese GET-Anforderungen aus demselben Code stammen, der den Benutzer authentifiziert hat.

Aber was passiert, wenn der Benutzer authentifiziert wird, dann eine neue Registerkarte öffnet und versucht, auf einen anderen eingeschränkten Bereich (oder sogar denselben Bereich) der App / Site zuzugreifen? In diesem Fall gibt es keinen Interceptor, der das Token in den Authorization-Header auf der neuen Registerkarte einfügt. Ich nehme an, der Server empfängt die GET-Anfrage, sucht im Authorization-Header nach einem JWT-Token und findet es nicht und lehnt die Anfrage ab.

Wenn Sie Cookies verwenden, werden diese immer nativ vom Browser gesendet und Sie müssen sich nicht um neue Registerkarten und die Authentifizierung kümmern.

Ist es eine Möglichkeit, den Autorisierungsheader global für die Domain im Browser einzurichten, sobald sich der Benutzer auf der ersten Registerkarte authentifiziert? Was sind die üblichen Lösungen für diese Angelegenheit, wenn überhaupt?