在 NodeJS 服务器中解决 csrf 和身份验证问题的最佳方法

【问题标题】:Best method to tackle both csrf and authentication problem in NodeJS server在 NodeJS 服务器中解决 csrf 和身份验证问题的最佳方法
【发布时间】:2019-03-20 02:10:50
【问题描述】:

我是 Web 服务器开发的新手。我正在开发一个 NodeJS Web 服务器,它同时服务于 Web(AngularJS/ReactJS)和本机移动应用程序(Android)。 我的项目中有一个用户特定的功能。

我很困惑,花了几个小时寻找与 csrf 和身份验证相关的安全问题。

我的问题是

1) 我应该使用哪种方法来解决Web 和移动应用程序 中的csrf 和身份验证 问题? - 是 JWT (JSON web token) 还是 CSURF express JS 中的中间件。

请详细说明。

如果有其他方法请说明。

提前致谢。

【问题讨论】:

  • 护照+护照攻略+头盔什么的。

标签: android node.js web jwt csrf


【解决方案1】:

JWT 应该适用于身份验证和 csrf 保护。您可以使用 jwt 来存储 csrf 令牌。将 JWT 存储在安全的 http-only cookie 中,并将 csrf 令牌存储在会话存储中。然后验证 jwt 中的令牌与请求发送的 csrf 令牌是否匹配。此外,您可以在后期使用 JWT 进行授权。

您还可以查看 jwt-csrf,它使用 jwt 进行反 csrf 保护。它用于 anti-csrf 令牌的默认方法是双重提交,但它也支持其他方法。

https://www.npmjs.com/package/jwt-csrf

【讨论】:

    猜你喜欢
    • 2010-12-04
    • 1970-01-01
    • 2013-07-30
    • 1970-01-01
    • 2022-07-18
    • 1970-01-01
    • 2010-09-06
    • 2015-03-18
    • 2010-09-14
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode