簡體 English 中英

以角度存儲 JWT 令牌的位置？

[英]Where to store JWT token in angular?

原文 2020-02-03 07:34:12 2 2 angular/ jwt

我正在用 Django 和 angular 構建一個應用程序。 目前，我正在將后端發布的 JWT 存儲在本地存儲上。 但是，我擔心 XSS 攻擊。 我應該使用僅 HTTP cookie 存儲令牌嗎？ 我也在考慮將令牌存儲在我的身份驗證服務類中的變量字段中。 但我不完全確定 angular 是否在整個應用程序中共享服務。 我的身份驗證服務會有一個實例嗎？

2 個解決方案

假設您使用標准依賴注入，每次都會實例化您的服務的一個新實例，因此不會存儲服務類中的字段。

會話或本地存儲雖然很好。 JWT 機制可防止客戶端輕易更改內容（因為您必須在下游后端服務上對其進行驗證）。

可以想象，您可以在 JWT 負載中保留一些原始請求簽名，並檢查此匹配項下的任何輔助請求。 例如，IP 地址、用戶代理字符串等。

就個人而言（如果它被正確實現），我認為這對於大多數面向 Web 的應用程序來說已經足夠安全了。 顯然，銀行/金融應用程序可能希望加倍努力，使用 2 因素身份驗證等。

讓事情直截了當：

如果您遇到了 XSS - 游戲就結束了。 時期。

那說，

在我當前的工作場所通過外部Penetration Tests一種方法是將JWT令牌放在httpOnly secure samesite=strict cookie 中。

為了進一步防止 CSRF，您可以在 Web 存儲中添加一個標識符，將其作為標題附加到每個xhr 。

在服務器中，從jwt提取標識符並將其與標頭值進行比較。

在 angular 中存儲 jwt 的位置

[英]Where to store jwt in angular

Angular 2/4 存儲令牌的位置

[英]Angular 2/4 where to store token

在Angular請求生命周期中的何處刷新JWT令牌

[英]Where in Angular request lifetime to refresh JWT token

在 Angular 網站中存儲 JWT 令牌的最佳位置是什么

[英]What is the best place to store the JWT token in the Angular website

如何使用 JWT 令牌以 angular 5 存儲獲取響應數據

[英]How to store get response data in angular 5 with JWT Token

角度jwt無效令牌

[英]angular jwt invalid token

Angular - JWT刷新令牌

[英]Angular - JWT Refresh Token

Angular JWT 刷新令牌

[英]Angular JWT refresh token

angular 驗證 Jwt 令牌

[英]angular validate Jwt Token

Jwt令牌在角度6中到期

[英]Jwt token expiration in angular 6

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 在 angular 中存儲 jwt 的位置 Angular 2/4 存儲令牌的位置在Angular請求生命周期中的何處刷新JWT令牌在 Angular 網站中存儲 JWT 令牌的最佳位置是什么如何使用 JWT 令牌以 angular 5 存儲獲取響應數據角度jwt無效令牌 Angular - JWT刷新令牌 Angular JWT 刷新令牌 angular 驗證 Jwt 令牌 Jwt令牌在角度6中到期

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM