Лучший способ решить проблему csrf и аутентификации на сервере NodeJS

Question

Я новичок в разработке веб-серверов.Я занимаюсь разработкой веб-сервера NodeJS, который обслуживает как веб-приложение (AngularJS / ReactJS), так и собственное мобильное приложение (Android).В моем проекте есть пользовательская функция.

Я запутался и потратил несколько часов на поиск проблем безопасности, связанных с csrf и аутентификацией.

Мой вопрос

1) какой метод следует использовать для решения проблемы csrf и аутентификации в веб-приложении и мобильном приложении ?- Это JWT (веб-токен JSON) или CSURF промежуточное программное обеспечение в экспресс-JS.

, пожалуйста, объясните подробно.

Если естьЛюбой другой метод, пожалуйста, укажите.

Заранее спасибо.

Answer 1

JWT должен работать как для аутентификации, так и для защиты csrf. Вы можете использовать jwt для хранения токена csrf. Сохраните JWT в безопасном файле cookie только для http, а также сохраните токен csrf в своем хранилище сеансов. Затем убедитесь, что токен в jwt соответствует токену csrf, отправленному с запросом. Кроме того, вы можете использовать JWT для авторизации на более поздних этапах.

Вы также можете взглянуть на jwt-csrf, который использует jwt для защиты от csrf. Метод по умолчанию, который он использует для токена anti-csrf, - это двойная передача, но он также поддерживает другие методы.

https://www.npmjs.com/package/jwt-csrf