NodeJS:客户端在哪里存储JWT?sessionStorage,localStorage还是cookies?
NodeJS:客户端在哪里存储JWT?sessionStorage,localStorage还是cookies?
提问于 2015-06-16 09:35:33
使用NodeJS和(例如) AngularJS在SPA上存储用于身份验证的JSON令牌的最佳位置是什么?
到目前为止我得到的是:
可能的地点:
- HTML5网络存储(本地存储/会话存储)
- 曲奇饼
网络存储(localStorage/sessionStorage)可以通过同一域中的JavaScript访问。这意味着在您的站点上运行的任何JavaScript都可以访问web存储,因此很容易受到跨站点脚本(XSS)攻击。
sessionStorage localStorage有不同的过期时间,只有在创建它的窗口打开时才能访问它。localStorage一直持续到您删除它或用户删除它。
Cookies与HttpOnly cookie标志一起使用时,无法通过JavaScript访问,并且对XSS免疫。然而,cookie容易受到跨站点请求伪造(CSRF)的攻击。
那么,存储JWT的最安全的方法是什么?
回答 3
Stack Overflow用户
发布于 2015-11-27 08:12:01
- sessionStorage:如果您希望将令牌存储到页面关闭为止。
- localStorage:用于持久存储。
- cookies:帮助令牌在一段时间后过期。
Stack Overflow用户
发布于 2016-08-17 05:53:48
不要将角应用中的键保持为常量。如果您想安全地验证JWT令牌,从localStorage检索JWT,在$http.get()调用中将其发送到授权头中的服务器。
该键只能由服务器上的代码查看/访问。当服务器从授权头获取JWT时,它可以检查JWT有效负载是否已被篡改。如果它已经将某种授权错误返回给$http.get()调用。
Stack Overflow用户
发布于 2015-11-23 12:31:36
您可以将JWT存储在任何您想要的位置。如果您想保护令牌,您可以加密令牌并将其存储在本地存储/cookie中,并将密钥作为常量保存在angularJs应用程序中;令牌将保持安全,只能从应用程序中解密。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/30863852
复制相关文章
相似问题
腾讯云开发者
