【发布时间】:2017-05-30 17:54:23
【问题描述】:
我正在使用 AuthorizationServerConfigurerAdapter 配置我的 OAuth2 密码流,我成功地创建了 JWT 令牌。我在我的 Spring REST 后端中使用我的 OAuth2,并将它与我的 Angular 2 前端配对。
我已经阅读了几篇文章(例如https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-web-storage),其中人们将 JWT 放在返回到 Angular 前端的仅 HTTP cookie 中,以防止 XSS 脚本,我对此很感兴趣。我很困惑如何集成或拦截我返回的 jwt,并将其放在仅 http 的 cookie 中并返回。
有什么建议吗?
约翰
【问题讨论】:
-
您链接到的文章似乎建议在 cookie 标头中将令牌发送回资源服务器,这消除了您可能从 XSS 获得的任何保护。您需要在授权(或非 Cookie)标头中发送令牌,即使您真的坚持将它们存储在 cookie 中,并且要做到这一点,cookie 不是非 HTTP,这在一定程度上破坏了对象。
-
嗨@DaveSyer,我们只是围绕这篇文章进行了同样的讨论。当您说“在 cookie 标头中发送令牌会删除您可能从 XSS 获得的任何保护”时,您是否介意详细说明您的意思?我们认为这种 cookie 方法相当繁琐,我们希望充分了解其中的注意事项。谢谢!