Question

Я нашел 3 способа сохранить его на стороне клиента (локальное хранилище / сессионное хранилище / файлы cookie) ... но это недостаточно безопасно. Потому что клиент или хакер могут изменить или заменить другим действительным сгенерированным JWT-токеном.Я хочу хранить токен в зашифрованном виде или что-то, что невозможно взломать ... пожалуйста, дайте мне знать профессиональный способ работы или хранения access_token ....

Todd · Answer 1 · 02 октября 2018

"это недостаточно безопасно. Потому что клиент или хакер может изменить или заменить другим действительным сгенерированным JWT-токеном"

Итак, хотя я не уверен в вашем конкретном приложениитребования, я скажу так: хранение на стороне клиента с помощью файлов cookie - это путь ... Файлы cookie не уязвимы для XSS, а CSRF легко исправить с помощью современных сред.Например, отправляйте только cookie JWT через HTTPS и устанавливайте флаг HttpOnly (и, возможно, также флаг Secure).Это довольно стандартная практика, потому что она безопаснее, чем веб-хранилище. Ознакомьтесь с этой статьёй из Stormpath .

Как безопасно хранить токен JWT, используя java Script или angular?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как безопасно хранить токен JWT, используя java Script или angular?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы