在redux store中存储JWT令牌安全吗?
在redux store中存储JWT令牌不是一个安全的做法。Redux store是一个全局状态管理工具,用于存储应用程序的状态。然而,JWT令牌是一种敏感信息,包含用户的身份验证信息,如果存储在redux store中,存在以下安全风险:
- 客户端存储:Redux store是存储在客户端的,任何具有访问权限的人都可以查看和修改其中的数据。如果JWT令牌存储在redux store中,攻击者可以通过窃取或修改令牌来冒充用户身份。
- 持久化存储:Redux store通常会使用本地存储或缓存来实现数据的持久化,这意味着JWT令牌可能会长时间存储在用户设备上。如果设备被盗或丢失,攻击者可以获取到JWT令牌并进行滥用。
为了增加JWT令牌的安全性,推荐以下做法:
- 客户端存储:将JWT令牌存储在安全的地方,例如浏览器的HTTP-only Cookie或本地存储中。这样可以防止脚本访问令牌,减少被XSS攻击窃取的风险。
- 短期有效性:JWT令牌应该具有较短的有效期,以减少令牌被盗用的时间窗口。可以通过设置较短的过期时间和使用刷新令牌来实现。
- 安全传输:在传输过程中,应使用HTTPS协议来加密通信,防止令牌被中间人攻击窃取。
- 服务器验证:在每次请求中,服务器应该验证JWT令牌的有效性和完整性,以防止伪造或篡改。
总结起来,为了保证JWT令牌的安全性,应将其存储在安全的地方,限制其访问权限和有效期,并在传输和服务器端进行验证。
相关·内容
我正在做一个项目,但我想知道,如果我已经在我们的应用程序中使用redux,那么我们可以停止使用httponly cookie来存储令牌吗?这是我的reducer,我以这种方式将令牌存储在我的reducer中。而且每当用户重新加载页面时,我都会使用redux-persist来持久化用户。 那么,建议这样存储jwt令牌吗?types.LOGIN_SU
浏览 28提问于2021-07-18得票数 0
2回答
我正在尝试理解将jwt存储在本地存储(倾向于xss)与cookie (倾向于csrf)的安全含义。如果我将jwt令牌存储在前端的应用程序状态中,比如在redux store中,我想了解它的安全含义。 编辑: 我试着找出更多关于存储令牌的信息。似乎所有的文章和答案实际上都是在确定有两种方法可以做到这一点之后开始讨
浏览 19提问于2019-03-01得票数 7
我正在编写一个react应用程序,并使用localStorage (目前)来存储JWT。 dispatch(setTokenInStore(token))
})
浏览 1提问于2021-02-26得票数 1
1回答
在前端存储JWT令牌
、、、、
我过去常常将JWT存储在redux中,这样我就可以将它作为一个头部发送给每个应该进行身份验证的请求。但最近我看到一段视频,其中说将我们的JWT存储在redux/通量/mobx中是脆弱的。以便它可以存储在浏览器cookie中。这样,我们就不必在每个请求中发送令牌。
这里哪种方法更好?在
浏览 1提问于2019-11-28得票数 0
回答已采纳
假设你正在采取必要的步骤来防止XSS,比如输入验证和输入过滤,而且你对XSS非常小心,所以你每天都会进行代码审查,检查恶意代码;在这种情况下,将JWT令牌存储在浏览器本地存储中会比将其存储在cookie或仅限http的cookie中更安全吗?为了更好地描述这一点,让我们假设JWT访问令牌位于REACT应用程序的redux store中</
浏览 0提问于2021-07-11得票数 0
我想从应用程序中销毁令牌。
我必须实现注销功能。现在,我在前端开发了注销函数,它在redux存储中删除了jwt令牌,但是当我在从前端redux存储中使用相同的jwt令牌之前,我可以使用这个令牌形式postman,我可以访问安全的rest端点。如何在spring引导后端删除jwt。
浏览 0提问于2019-06-17得票数 1
1回答
现在,我的策略是在提交时将表单数据发送到服务器(express),如果信息与我的数据库中的用户匹配,服务器将返回一个签名的JWT,其中没有敏感信息(只有用户名)。一旦客户端收到JWT,我就会将其添加到localStorage中,并将其解码后的数据添加到我的redux存储中。我计划让我的redux存储保存当前登录的用户。我认为我的站点可能存在安全问题,因为目前我有它,所以当用户第一次到达站点时,如果有
浏览 9提问于2017-08-09得票数 5
我已经阅读/观看了ReactJs与Redux有关如何使用它获取数据并在屏幕上显示数据的几个指南/教程。我正在考虑几个“修复”选项,但我不确定哪一个是正确的:
任何解释这种情况的博客/视频/书籍都将受到欢迎!谢谢!
浏览 2提问于2020-05-11得票数 3
回答已采纳
基本上,我正在创建一个基于axios的HttpAuthClient,并且想要添加访问令牌到我试图点击按钮的每个request.When,我得到了一个错误-“未处理的拒绝(错误):无效的钩子调用。
浏览 179提问于2020-08-18得票数 2
2回答
我正在尝试使用Keycloak作为外部身份提供者在React-Redux应用程序上实现SSO。我尝试使用Keycloak的NodeJS适配器(),它可以将我重定向到用于登录的IdP,我可以获得access_token,但这一切都发生在express-session中,并使用MemoryStore在快速存储中保存JWTs,并在进行API调用时从存储中检索它们?
或者我是否应该尝试在Redux的存储中保存身份验证状态(<
浏览 1提问于2017-07-03得票数 1
回答已采纳
我正在开发一个演示WebApp,使用MERN堆栈,并使用JWT进行身份验证。在后端,当用户请求登录时,我正在准备一个JWT令牌,方法是在令牌的有效负载中为该用户添加MongoDB ObjectID,并使用必要的时间戳。
在用户登录时,我希望将该会话的用户详细信息存储在前端。我知道我可以通过API响应共享所有这些细节&使用React上下文/ Redux存储它。但是,从后端创建一个JWT令牌</
浏览 2提问于2021-09-02得票数 0
回答已采纳
最近,我正在构建一个纯粹的React作为我的前端,.NET核心作为我的后端,ADFS4.0作为我的intranet auth服务器,我的用户角色被安全地存储在OracleDB中。2) React应用程序将使用Bearer令牌调用我的核心后端;后端将处理JWT并检查ADFS问题:
1)我是否应该将用户角色存储在<
浏览 2提问于2020-03-10得票数 0
存储登录数据的用户(主要是用户名或uuid)的最佳和安全方式是什么?所以,我可以在我的其他组件中使用它?我想出了几种办法。
通过AuthLogin/AuthSignup方法传递电子邮件,但我似乎不知道如何通过路由器传递它。
浏览 1提问于2019-04-26得票数 5
5回答
我有一个React + redux + axios应用程序,白色jwt身份验证。所以,我需要截获发往服务器的每个请求,并用令牌设置头。问题是我必须在哪里设置这个头,或者实现拦截器。(另外,我需要redux store在作用域中,以便从store获取令牌)。我的想法是-在Index组件中实现它。这条路对吗?
浏览 1提问于2018-06-18得票数 3
验证登录后,服务器将用户重定向到app索引/,并向他们发送一对JWT作为GET变量。然后,应用程序将这些内容存储在Redux商店中,然后重写URL以隐藏JWT令牌,以达到安全目的。然后,应用程序对令牌进行解码,以获取有关用户的信息,如用户名和化身地址。这应该在应用程序的SiteWrapper组件中呈现,然而,这正是我的问题所在。似乎正在发生的是在SiteWrapper组件完成保存令
浏览 1提问于2018-12-05得票数 1
回答已采纳
我在一个通用的React应用程序中使用Redux进行会话管理。在商店中,我存储一个包含用户基本信息的JWT令牌(字符串)。我知道Redux通常使用对象或数组(它们也是对象),但是…使用字符串而不是对象有效吗?例如,如下所示: Articles: [ title: 'title1',
text: &#x
浏览 1提问于2018-06-25得票数 0
回答已采纳
1回答
我目前有一个使用redux的应用程序,我将其设置为每次应用程序加载时都会检查JWT令牌是否有效,并将用户数据添加到状态中。我想知道调用api然后在每次重新加载时将数据存储在状态中与在localStorage中存储一次数据有什么不同? 如何通过调用api和redux存储来设置代码。检查令牌 const token = localStorage.Us
浏览 35提问于2020-04-10得票数 1
回答已采纳
1回答
React-redux客户端令牌
、、、、
我正在构建一个React-redux spa,并且我正在使用一个构建在node + express + jwt-simplea模块和passport.js之上的API。当用户使用用户名/密码登录时,服务器将验证这些凭据,并向客户端发送回一个JSON web令牌,然后客户端必须将该令牌与每个API请求一起发送。所以React-redux应用程序必须存储这个令牌。如何在React-redux应用程序中安全地<e
浏览 0提问于2016-04-18得票数 11
2回答
我使用React作为前端,使用REST作为后端,我的REST只发布我存储在前端上的Cookie,并在每个REST请求上使用,例如代码,现在我想将该解决方案从REST迁移到GraphQL,如果GraphQL侧的授权已经解决了问题(只有阿波罗有Cookie和JWT的机制,更不用说本地实现了),我仍然想不出如何从GraphQL侧发布Cookie/JWT。像set-cookie头这样的东西可能吗?
浏览 4提问于2017-09-03得票数 2
回答已采纳
2回答
我试图实现的是打开一个新选项卡,让用户通过google的oauth流,在返回应用程序时,他们应该能够使用收到的cookie向我们的api发出请求,但是..我不知道怎么救那块饼干。如果我进入chrome的检查工具,我可以在资源选项卡中看到cookie,但是使用forge或angularjs (我正在使用的js框架)所做的任何事情都不包括cookie,而且出于浏览器安全性的考虑,我不能手动设置它有什么帮助吗?
浏览 1提问于2012-08-18得票数 2
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
