【发布时间】:2018-11-27 18:22:44
【问题描述】:
我想听听关于我的 JWT 身份验证流程的一些意见。
而
如果我将令牌存储在本地/会话存储中,XSS 攻击是可能的, 如果我将令牌存储在仅 http/secure 的 cookie 中,则可能发生 CRSF 攻击。
我的解决方案是将令牌分成两部分,一是放入cookie,一是放入本地存储,并通过标头传回服务器。后端加入部件并验证请求。
这是一个正确的实现吗?
【问题讨论】:
标签: jwt
我想听听关于我的 JWT 身份验证流程的一些意见。
而
如果我将令牌存储在本地/会话存储中,XSS 攻击是可能的, 如果我将令牌存储在仅 http/secure 的 cookie 中,则可能发生 CRSF 攻击。
我的解决方案是将令牌分成两部分,一是放入cookie,一是放入本地存储,并通过标头传回服务器。后端加入部件并验证请求。
这是一个正确的实现吗?
【问题讨论】:
标签: jwt
您可以将其拆分为两部分,也可以验证 cookie 中的令牌是否与本地存储中的令牌匹配。如果令牌太长,您可以只在 cookie 和本地存储中存储一个 UUID 或一些唯一键。服务器应该期待令牌,并且 cookie 中的密钥与本地存储中的密钥匹配。
在 OWASP 中查看 Double Submit Cookie。
【讨论】: