一個將身份驗證令牌存儲在ASP.Net Core中的位置
[英]Where should one store the authentication token in ASP.Net Core
問題描述
我的應用程序有一個API部分和一個網站部分。 在網站上,用戶可以登錄並從API獲取JWT承載令牌。
我的問題是:
我應該在哪里存儲該令牌?
有些人說將其存儲在Cookie中(另一些人說“不要,因為CSRF”),另一些人說使用HTML5 Web存儲,另一些人說使用Session(而另一些人說“在ASP Net Core中不使用Sessions”),而我看到一篇文章,其中有人將身份驗證令牌存儲在數據庫中(??)。 那么,現在正確的地方是什么?
1 個解決方案
解決方案1
5 已采納 2017-05-30 11:57:14
具有許多控制器和許多視圖的MVC-Web應用程序
如果您必須使用令牌對MVC應用程序的每個請求進行身份驗證,我認為最好的選擇是將其存儲在會話cookie中,因為如果沒有,則Web瀏覽器將不會在每個請求中發送令牌真實性,這將是一個屁股痛。
現在,為了保護cookie和請求:
- 制作會話Cookie(無有效期)
- 限制Cookie的范圍(域和路徑)。
- 設置安全和HttpOnly屬性。
- 設置SameSite屬性。
- 如果瀏覽器不支持SameSite,請使用反CSRF令牌。
- 設置限制性X-Frame-Options。
- 不要忘記在每個請求中都驗證服務器上的JWT簽名。
- 加密JWT令牌以防止泄漏可能導致社會工程的信息。
ASP.Net Core `cookies authentication` 在哪里存儲對該 cookie 的引用?
[英]Where does ASP.Net Core `cookies authentication` store a reference to that cookie?
我應該在哪里存儲我的 ASP.NET Core 應用程序生產環境的連接字符串?
[英]Where should I store the connection string for the production environment of my ASP.NET Core app?
檢查用戶是否使用ASP.NET Core中的基於令牌的身份驗證登錄
[英]Check if user is logged in with Token Based Authentication in ASP.NET Core
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
ASP.NET Core 中的承載令牌身份驗證
ASP.NET Core 中的 Jwt 令牌身份驗證
ASP.NET Core 中基於令牌的身份驗證
ASP.Net Core `cookies authentication` 在哪里存儲對該 cookie 的引用?
在ASP.NET Core 2.1 Web客戶端中的哪里存儲承載令牌
我應該在哪里存儲我的 ASP.NET Core 應用程序生產環境的連接字符串?
ASP.NET核心網站使用JWT令牌進行WebApi身份驗證
無法識別ASP.NET Core 2.1 Jwt身份驗證令牌
ASP.NET核心中基於令牌的身份驗證(刷新)
檢查用戶是否使用ASP.NET Core中的基於令牌的身份驗證登錄
相關標簽