[英]jwt authentication: cookie vs header
有很多文章圍繞討論在客戶端存儲JWT的最佳位置。 簡而言之,他們都是關於 -
僅限Http的安全cookie - 沒有XSS,但對XSRF來說是可以攻克的
標題(保存在本地存儲或DOM中) - 沒有XSRF,但對XSS來說是可以破壞的
我想我想出了一個非常精明的解決方案,但是,因為我是安全的完全noob,我不確定它是否真的很精明或愚蠢。
那么,如果要拆分JWT並將其中的一部分保存在cookie中以及標題中的另一部分呢? 它會牢不可破嗎?
這也應該解決'注銷'問題 - 刪除標題部分會使瀏覽器無法登錄。
最好的問候,尤金。
JWT需要保持在一起,否則簽名驗證將不起作用。
保護XSRF非常簡單,您只需要另一個cookie。
永遠不要使用本地存儲來存儲身份驗證信息,它不遵循與cookie相同的域和源規則。 在這里閱讀更多:
https://www.owasp.org/index.php/HTML5_Security_Cheat_Sheet#Storage_APIs
免責聲明:我在Stormpath工作,我們有一個托管用戶管理解決方案,我們花了很多時間在安全性上。 我寫了兩篇博文,討論JWT和前端身份驗證:
https://stormpath.com/blog/build-secure-user-interfaces-using-jwts/
希望這可以幫助!
從 typescript 中的 Set-Cookie header 中獲取 jwt 值
[英]fetch the jwt value from Set-Cookie header in typescript
如何使用在身份驗證標頭中另存為httpOnly cookie的訪問令牌?
[英]How to use access token that was saved as httpOnly cookie in authentication header?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
