【问题标题】:Java Angular JWT implementationJava Angular JWT 实现
【发布时间】:2018-11-27 18:22:44
【问题描述】:

我想听听关于我的 JWT 身份验证流程的一些意见。

如果我将令牌存储在本地/会话存储中,XSS 攻击是可能的, 如果我将令牌存储在仅 http/secure 的 cookie 中,则可能发生 CRSF 攻击。

我的解决方案是将令牌分成两部分,一是放入cookie,一是放入本地存储,并通过标头传回服务器。后端加入部件并验证请求。

这是一个正确的实现吗?

【问题讨论】:

    标签: jwt


    【解决方案1】:

    您可以将其拆分为两部分,也可以验证 cookie 中的令牌是否与本地存储中的令牌匹配。如果令牌太长,您可以只在 cookie 和本地存储中存储一个 UUID 或一些唯一键。服务器应该期待令牌,并且 cookie 中的密钥与本地存储中的密钥匹配。

    在 OWASP 中查看 Double Submit Cookie

    【讨论】:

      猜你喜欢
      • 2014-12-22
      • 2017-07-25
      • 1970-01-01
      • 2018-12-19
      • 2019-07-11
      • 2018-03-08
      • 2020-11-03
      • 2021-04-26
      • 2021-02-14
      相关资源
      最近更新 更多