注册
登录
云鉴权
在客户端存储Json Web Tokens JWT最安全的地方是什么?
返回
在客户端存储Json Web Tokens JWT最安全的地方是什么?
作者:
遇见你
发布时间:
2024-12-14 04:11:21 (1月前)
转自:
<p> <br/> 你好stackoverflow社区!</p><p>我们用nuxts.js框架构建一个SPA应用程序,我们到达了这一点,这是从我们的后端API服务存储JWT令牌的最安全的方法。</p><p>我们有两种选择……<br/> <br/></p>
收藏
举报
2 条回复
0#
回复此人
是吗@
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 你不能肯定地说cookie比localStorage更受欢迎。这实际上取决于您如何实施您的应用程序,您正在使用的框架以及您想要做什么。让我更准确地描述一下。 </p> <P> 的<strong> 使用httpOnly的Cookie: </强> </p> <BLOCKQUOTE> <P> 当与HttpOnly cookie标志一起使用时,Cookie无法通过JavaScript访问。 </p> </BLOCKQUOTE> <P> 将jwt令牌存储在cookie中并通过http请求设置时 <code> set-cookie </code> 在浏览器上,然后浏览器将在每个请求上发送此凭据。当然,你可以申请保护它 <code> httpOnly </code> 和 <code> secure </code> 该cookie的标志。所以没有javascript会访问它。但问题是你正在打开机会 <code> CSRF </code> 攻击。 </p> <P> 当令牌存储在cookie中时,浏览器会自动将其与每个请求一起发送到同一域,这仍然容易受到CSRF攻击。 </p> <P> 的<strong> localStorage的: </强> </p> <BLOCKQUOTE> <P> 另一方面,jwt令牌在每个请求的Authorization标头中发送。因此浏览器不会在您的请求中自动设置它。它应该通过客户端的javascript在每个请求上设置。 </p> </BLOCKQUOTE> <P> 因此,基本上因为浏览器不会自动添加到每个请求,所以默认情况下它不容易受到CSRF的攻击。 </p> <P> 但是当您的客户端代码容易受到攻击时,问题就出现了 <code> XSS </code> 。在这种情况下,因为您将凭据存储在localStorage上,然后攻击者将完全控制客户端并可以执行任何操作。存储在cookie中的区别在于,攻击者不知道使用httpOnly标志存储的cookie的确切值。但是他可以用http标头发送请求。 </p> <HR /> <P> 所以我认为这取决于以下情况: </p> <UL> <LI> <P> 你想保存jwt令牌 的<strong> localStorage的 </强> ,请务必检查所有输入并验证它们。使用不易受攻击的框架 <code> XSS </code> (当然不是框架可以声称,但至少使用最近没有报告过的CVE)。还要始终更新客户端代码。实现所有安全概念 <code> csp </code> 和...... 还要注意您正在使用的CDN,并注意您使用的是哪个库。 </p> </LI> <LI> <P> 你喜欢用 的<strong> 曲奇饼 </强> 并在浏览器上通过Cookie设置凭据。然后小心实施反csrf缓解技术。总是用 <code> https </code> 并设定 <code> secure </code> 旗。小心攻击存在于cookie上,如子域攻击和中间人攻击。 Django也使用两种很酷的方法来处理这种情况 <a href="http://kylebebak.github.io/post/csrf-protection#double-submit-cookie" rel="nofollow noreferrer"> (在这里阅读更多相关信息) </A> </p> <UL> <LI> 双提交Cookie </LI> <LI> 同步器令牌 </LI> </UL> </LI> </UL> <P> 的<strong> 最后的说明: </强> 我不认为这个主题有一般的解决方案,任何人都可以根据它的实验和知识提出建议。 的<strong> 顺便说一句,我更喜欢localStorage存储从Rest API收到的凭据 </强> 。 但是,如果有人能纠正我寻求更好的解决方案,我真的很高兴。 </p> </DIV>
编辑
登录
后才能参与评论
