【发布时间】:2020-11-03 04:37:50
【问题描述】:
历史
Sessions-Cookies Age:据我所知,JWT 用于减少数据库请求。会话通常存储在数据库中,所有请求都需要查询以验证请求。在小型网站和网络应用中这不是问题,但在大型应用中性能非常重要。
JWT 崛起:使用 JWT,您可以跳过此步骤(查询 DB 进行身份验证),并且可以使用与您的服务器签名的有效 JWT。您应该在标头中的所有请求中发送 JWT 令牌,但如果此令牌被盗,小偷可以使用它来永久进行身份验证。
为了保护这一点,您可以在 JWT 中添加过期时间,但在过期时间之前,小偷可以像用户一样使用它。现在您可以减少过期时间(例如 10 分钟)以保护用户,但在令牌过期后,真实用户应该使用用户名和密码登录,这是一场噩梦。
刷新令牌诞生:现在我们可以将 JWT 与 cookie 概念混合使用。刷新令牌存储在数据库中,您可以通过登录和注销来控制它。在访问令牌(使用期限短的 JWT 令牌)过期后,客户端向某个端点发送请求以刷新该端点中的访问令牌服务器检查数据库并搜索刷新令牌。如果在白名单中(或不在黑名单中)刷新令牌,则服务器生成新的访问令牌并返回给客户端。现在您可以将访问令牌存储在内存中并在本地存储中刷新令牌或类似的东西。
XSS 攻击:本地存储不安全,黑客可以通过 XSS 攻击窃取您的本地存储。
httpOnly cookie:您可以将 JWT 令牌存储在 httpOnly cookie 中。从服务器和客户端设置的 httpOnly cookie 无法从 JS 访问。
CSRF 攻击:httpOnly cookie 的新问题是 CSRF 攻击。 CSRF 攻击来自 session-cookie 时代。
我的方法
刷新令牌与cookies非常相似,现在我们将cookie和JWT一起使用,访问令牌是传统的JWT令牌,刷新令牌是传统的会话令牌。每 10 分钟(在我的示例中为 JWT 年龄)我们使用刷新令牌(或会话令牌)登录,并且在它们之间我们使用访问令牌。
如果用户每 10 分钟发送 100 个请求,我的数据库身份验证请求将减少 100 倍
现在我的问题
我了解如何使用 JWT 吗?
【问题讨论】:
标签: jwt session-cookies xss csrf access-token