从 React 前端验证 JWT 令牌真的安全吗?

【问题标题】:Is it really safe to authenticate JWT token from React frontend?从 React 前端验证 JWT 令牌真的安全吗?
【发布时间】:2018-08-23 17:36:55
【问题描述】:

我来自传统的HTMLfrontend JScss 背景,所以我有点怀疑从前端进行令牌身份验证。

所以当用户登录时,JWT 将从后端生成并发送到客户端。从那时起,我会将其存储在localStoragesessionStorage 中,以便在每次用户尝试访问私有路由时“在前端”对它们进行身份验证。来自传统的“始终客户端到服务器的通信”,我想知道这种方法是否非常安全。 (虽然我知道无论是发生在后端还是前端,JWT 的解码都是完全相同的过程)。那么,在前端路由而不是在后端路由时,我应该考虑任何其他安全漏洞吗?

编辑**

另外,如果我在前端解码,我的秘密会不会暴露给所有人?

【问题讨论】:

    标签: node.js reactjs jwt


    【解决方案1】:

    这种方法是安全的,不会向所有人泄露秘密。后端应用程序通常读取主 uid 和 access_token。

    将 TLS/SSL 与 JWT 结合使用以防止中间人攻击至关重要。在大多数情况下,如果 JWT 有效负载包含敏感信息,这足以加密它。但是,如果我们想添加额外的保护层,我们可以使用 JSON Web 加密 (JWE) 规范对 JWT 有效负载本身进行加密。

    当然,如果我们想避免使用 JWE 的额外开销,另一种选择是简单地将敏感信息保存在我们的数据库中,并在我们需要访问敏感数据时使用我们的令牌对服务器进行额外的 API 调用。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2018-05-18
      • 2021-02-02
      • 1970-01-01
      • 2018-11-12
      • 2014-08-16
      • 2019-06-23
      • 2020-10-07
      • 2010-10-05
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode