Cookie 和 Jwt 以及何时使用它们

【问题标题】:Cookies and Jwt and when to use themCookie 和 Jwt 以及何时使用它们
【发布时间】:2018-08-05 09:12:17
【问题描述】:

我是 jwt 的新手,在阅读了一些文章后,我了解到我们可以将 jwt 存储在 cookie 中,并且会话仍然可以是无状态的。对吗?,关于 csrf 攻击,因为使用时cookie 我们很容易受到 csrf 攻击 我们有防伪来解决 csrf 的问题。 现在我的主要问题-我不确定这是否正确但是,当您为控制器实现 CrossOrigin 时,使用 cookie 存储 jwt 是否有一些特别的缺点,这是我的服务器应用程序位于不同位置的场景,我们在我们位于另一个城市的客户端应用程序中从它调用 api 吗?这难道不是很多 Web 服务提供商不使用 cookie 的原因吗?

【问题讨论】:

    标签: java cookies jwt


    【解决方案1】:
    1. 是的,您可以将 JWT(实际上是 JWS)存储在 cookie 中,并且您的会话仍然是无状态的。
    2. 是的,就 CSRF 而言,在 jwt 中使用 cookie 可能会有很大的危险,但可以通过服务器控制 Referrer 和 Origin 标头以及限制 Http Cookie 生命周期将其降低到最低限度。

    希望对你有帮助。

    【讨论】:

    • 我们可以在控制器上使用@CrossOrigin,以便在我们使用cookies时可以从不同的域访问
    • 不幸的是我不熟悉 Java 控制器,但是 CORS 请求完全是另一个安全维度,所以我相信你应该小心 cookie 是如何设置的(到哪个域)并注意 CORS已验证响应的标头。
    猜你喜欢
    • 2019-03-18
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2019-09-20
    • 2014-12-03
    • 2020-10-20
    • 2013-06-16
    • 2017-05-18
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode