【问题标题】:Where to store and get bearer token with Symfony & react?Symfony 在哪里存储和获取不记名令牌并做出反应?
【发布时间】:2022-01-13 06:06:19
【问题描述】:

我正在为前端开发一个反应应用程序和一个用于后端的 symfony api。我希望用户通过 api 访问数据。我成功安装了 Lexik JWT 身份验证。

我了解到,出于安全原因 (XSS),不应该将承载令牌发送到响应中,也不应该将其存储在本地存储或客户端 cookie 文件中。所以我覆盖了这个监听器:

$response->headers->setCookie(new Cookie('BEARER', $tokenJWT, (
            new \DateTime())
            ->add(new \DateInterval('PT' . $this->jwtTokenTTL . 'S')), '/', null, $this->cookieSecure));

现在,我希望我的 react 前端可以访问此令牌,以便在请求中发送它。这个怎么做?有没有更好的方法?

谢谢!

【问题讨论】:

    标签: reactjs api symfony bearer-token


    【解决方案1】:

    我读到不应该将承载令牌发送到响应和 不应存储在本地存储或客户端 cookie 中 文件,出于安全原因 (XSS)。所以我覆盖了这个监听器:

    这是不正确的,因为大多数现实世界的应用程序都使用这种方法。除非出现一些极端的方法,否则您可以继续存储在 localstorage 或 cookie 中。

    您可能已经读过您不应该将带有敏感数据的 JWT 发送到前端。如果您使用的是包含敏感数据的 JWT,请确保您对其进行验证并加密并将其发送到客户端。

    如果您不确定您的 JWT 包含哪些信息,您可以访问 https://jwt.io/ 并查看其中包含的内容。如果可以,请确保加密您的 JWT 并在客户端解码。但如果它已经加密,你可以离开它

    【讨论】:

      猜你喜欢
      • 2016-03-15
      • 2019-04-25
      • 2019-11-30
      • 1970-01-01
      • 2014-10-28
      • 1970-01-01
      • 2018-04-09
      • 2012-01-28
      • 2012-04-29
      相关资源
      最近更新 更多