在啟用SSL的站點上使用JWT而不是Cookie
[英]Using JWT instead of Cookie on SSL enabled site
問題描述
我沒有使用cookie,而是使用JWT令牌,該令牌隨每個請求一起發送。 每個請求都是POST請求,因此令牌不會保存在瀏覽器的歷史記錄中。
這是一個單頁面的應用程序。
令牌看起來像:
{
userId: 12345678,
expires: <UNIX timestamp>,
otherInfo: <something>
}
一切都是SSL安全的。 用戶登錄時,將在服務器上創建令牌。
這是替換cookie的好方法還是看到任何缺陷?
1 個解決方案
解決方案1
1 2016-09-14 21:07:37
不,這不是一個好的解決方案。 使用cookie(帶有httpOnly標志)進行跨請求持久性不是可選的 - 這是安全存儲會話憑證的唯一方法,因為頁面上的JavaScript代碼無法直接訪問它。
這對於防止例如是必不可少的。 會話竊取XSS攻擊,確保腳本無法訪問憑據,但它們仍可用於對服務器的請求。
您對JWT的使用似乎也沒有真正解決問題 - 為什么不能僅使用現有會話實現使用會話cookie? 這種事情正是他們所做的。
使用使用javascript生成的cookie防止跨站點請求偽造
[英]preventing cross site request forgery using cookie generated using javascript
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.