SPA中身份验证令牌的存储位置
在SPA(Single Page Application)中,身份验证令牌的存储位置可以有多种选择,具体取决于安全性和性能需求。以下是几种常见的存储位置:
- Cookie:将身份验证令牌存储在HTTP Cookie中是一种常见的方式。通过设置Cookie的方式,浏览器会自动在每个请求中将Cookie发送到服务器。这种方式简单易用,但存在一些安全风险,如跨站点脚本攻击(XSS)和跨站点请求伪造(CSRF)。
- Local Storage:将身份验证令牌存储在浏览器的本地存储(Local Storage)中是另一种选择。Local Storage提供了一个持久化存储的机制,可以在浏览器关闭后仍然保留数据。但需要注意的是,Local Storage是易受XSS攻击的,因此需要采取额外的安全措施来保护令牌的安全性。
- Session Storage:类似于Local Storage,Session Storage也提供了一个在浏览器中存储数据的机制。与Local Storage不同的是,Session Storage的数据在会话结束后会被清除,因此适用于临时存储身份验证令牌的场景。
- IndexedDB:IndexedDB是浏览器提供的一个高级的客户端存储API,可以用于存储大量结构化数据。将身份验证令牌存储在IndexedDB中可以提供更高的安全性和性能,但需要更复杂的实现。
- 内存:在某些情况下,可以将身份验证令牌存储在内存中。这种方式的优势是速度快,但缺点是令牌在浏览器刷新或关闭后会丢失,需要重新进行身份验证。
需要根据具体的应用场景和安全需求选择合适的存储位置。腾讯云提供了一系列与身份验证相关的产品和服务,如腾讯云API网关、腾讯云访问管理CAM等,可以帮助开发者实现安全可靠的身份验证和令牌管理。具体产品介绍和链接地址可以参考腾讯云官方文档或咨询腾讯云的技术支持团队。
相关·内容
1回答
使用没有服务器的SPA的JWT
javascript、security、jwt、single-page-application
应用程序是驻留在静态存储上的SPA (概念上类似于S3,尽管它不是S3),并且根本没有后端服务器。假设这是https://static.example.com/app.html
当用户访问页面时,他们可以使用外部提供程序(如Auth0和Azure )进行身份验证。它们完成身份验证流,并通过URL片段上的id_token返回SPA。例如,https://static.example.com/app.html#id_token=XX。该id_token用于调用外部API服务器,该服务器在Bearer授权头中传递。
问题是将JWT存储在客户机中的位置。
众所周知,将JWT存储在sessionSt
浏览 0提问于2018-10-19得票数 6
1回答
我应该将JWT令牌存储在IndexedDB中吗?
cookies、jwt
在阅读了一些文章之后,我意识到使用localStorage和sessionStorage存储JWT令牌是个坏主意,应该使用带httpOnly的cookie。
今天,当我阅读更多内容并了解一些关于indexedDB的内容时,我想知道indexedDB是否也是存储JWT令牌的安全选项?
浏览 2提问于2020-06-13得票数 12
1回答
JWT刷新令牌
security、cookies、token、xss、csrf
用户身份验证的常见场景遵循以下步骤:
用户注册和登录使用其凭据(用户名/密码)
服务器验证用户的凭据,如果有效,则返回access token和refresh token
access token被发送到进一步的请求,如果它是有效的,服务器将使用所请求的资源进行响应。
当access token不再有效时,服务器请求客户端提供一个refresh token,以便发出新的access token。
服务器接收到refresh token,可能会发生两件事:
如果refresh token有效,则向客户端发出新的access token。
否则,服务器将请求用户进行身份验
浏览 1提问于2015-12-01得票数 3
1回答
如何实现多标签支持的抗CSRF令牌保护?
security、xss、csrf、antiforgerytoken
我有一个应用程序,在这个应用程序中,我希望使用安全令牌来实现对CSRF的保护,但如果同一个用户打开了一个新的选项卡,我的应用程序也将对他可用。
当用户使用正确的用户名/密码组合进行身份验证时,我将他添加到会话中,并返回包含令牌的cookie。当cookie到达时,我从cookie中移除令牌,并将其存储在全局变量中。对于每个请求,我都会追加令牌,并将其与服务器上的令牌进行比较。
问题是当我打开一个新的选项卡时,用户会被自动从会话中删除,因为接收到了一个不包含正确令牌的请求。
我知道,如果我将该令牌存储在cookie或localStorage中,我将能够从另一个选项卡读取它,请求将是有效的,但我不
浏览 3提问于2015-02-24得票数 1
2回答
对CSRF和XSS的保护(散列+加密)
rest、xss、csrf
安全系统。如今,如果没有适当的安全程序,任何应用程序都无法在互联网上生存--无论是开发者使用的框架,还是开发者自己的框架。我目前正在开发一个使用Bearer身份验证的RESTful API,但是我一直在阅读关于XSS和CSRF攻击的文章。
问题1)从我所读到的中,我看到使用基于令牌身份验证的RESTful API的应用程序很容易受到XSS的攻击,如果令牌存储在浏览器的localStorage/sessionStorage而不是cookie中,则不会受到CSRF的攻击。这是因为,为了使CSRF工作,应用程序必须使用cookie。我说的对吗?
但是,既然令牌存储在localStorage/sess
浏览 0提问于2018-04-01得票数 5
1回答
Django Rest Framework + React令牌与会话身份验证
django、reactjs、authentication、django-rest-framework
虽然有很多关于这个话题(或密切相关)的帖子,但我没有找到我要找的东西。
正如标题所示,我使用Django Rest Framework作为后端,并作为前端进行响应。
现在,我实现了令牌身份验证,它工作得非常完美。唯一的问题是令牌存储在React的状态中,如果用户刷新页面,他就不再登录(令牌丢失了)。
所以,现在我想切换到会话身份验证,因为问题已经解决了。但这将需要我做一些研究,在我去之前,我想知道这是否是最好的选择。
我的问题:
我是否需要使用会话身份验证来让用户保持登录,即使在反应性的状态发生变化时也是如此。或者,我也可以通过令牌身份验证(以安全和负责任的方式)实现同样的目标吗?
我想我可以
浏览 0提问于2018-08-11得票数 9
1回答
"Cookie“字段与http标头有什么不同吗?
rest、http、cookies
我有点惊讶,以前没有人问过这个问题,但目前在一个我们使用服务器端渲染的项目中,我们需要在初始加载时调用我们的身份验证API。
为了以认证的方式获取数据,我们需要从服务器端发送Cookie,并且当我简单地设置一个头Cookie时,
fetch(`${ API_SERVER }`, {
headers: {
Accept: 'application/json',
Cookie: 'User-Session-Token=' + cookie,
},
credentials: 'include'
浏览 0提问于2016-06-07得票数 3
1回答
如何实现restful的CSRF令牌机制?
xss、csrf、jwt、rest
考虑到以下事实,将CSRF token用于restful (当然,它没有复杂的会话)似乎是不可避免的:
将JWT存储在local storage(http-only cookie以外的任何地方)中会使API容易受到XSS攻击。
在http-only cookie中存储jwt使API易受CSRF攻击。
因此,为了防止XSS和CSRF的攻击,必须在系统中实现CSRF token。我的问题是怎么做?
我是否应该定义像/api/csrf这样的路由,以便客户机在每个POST/修补程序请求之前向该端点发送一个请求(包含它们的http-only cookie,其中包含JWT),以获取CSRF token并将
浏览 0提问于2021-12-20得票数 1
回答已采纳
1回答
流行网站基于Cookie的认证安全
authentication、web-application、cookies
让我们以谷歌和其他流行的银行网站为例,它们使用cookie。
我一直在与一个使用角的网站工作,该网站使用Laravel作为API。数据存储在cookies中,cookies在客户端(包括JWT )中易受攻击。
对于使用基于cookie的身份验证的网站,除了设置cookie的安全标志和选项之外,它们做了哪些安全实现和实践来保护和保护数据不受任何攻击?
下面是一些特定的cookie攻击:
CSRF饼干中毒
XSS
会话固定
偷听、劫持饼干/偷窃
来自相关主机名的Cookie注入
曲奇驱逐
直接曲奇注入
TCP/IP劫持
流行网站和银行网站如何处理这些攻击以保护存储在cookie中的数据?
浏览 0提问于2019-08-07得票数 0
2回答
保护HttpOnly Cookie或Header字段以保护API?
authentication、token
我有一个API要保护。这个API可能有两种类型的使用者--我们自己的单页应用程序和与之集成的第三方服务。
我已经读到过,通常情况下,对于REST来说,cookies是不受欢迎的,最好使用头字段。也许这只是惯例。
安全cookie是在SPA中保存auth令牌的一个更好的地方。它防止通过跨站点脚本攻击获取它们。此外,如果SPA打开一个新的窗口/选项卡,则sessionStorage不会流累加,导致用户不得不再次登录。您可以使用localStorage,但保留auth令牌并不是一个好主意,因为它仍然存在。
我是否应该让服务器端的身份验证过滤器接受cookie或标头字段?首先尝试cookie,如果它不
浏览 0提问于2016-04-08得票数 14
2回答
REST中具有身份验证的CSRF令牌
rest、authentication、http-headers、csrf、restful-authentication
我理解CSRF令牌保护的目的。
但是,我认为这种保护是无用的,如果REST 要求在每个操作的头中使用身份验证令牌,我们应该删除它。
这样,即使Mallory伪造了到Alice的恶意HTML链接,攻击也无法完成。原因是:
Alice将身份验证信息保存在Mallory不知道的头密钥中。与cookie不同,Alice的浏览器不会自动提交此身份验证令牌。
因此,在这种情况下,我想让您对这个问题有一个观点:我们能从这种API设计中删除CSRF令牌保护吗?
浏览 3提问于2015-07-25得票数 8
回答已采纳
1回答
用jQuery对HTML表单进行web服务器身份验证
encryption、xss
我正在构建一个简单的web应用程序。我没有能力使用SSL来保护与客户端的通信。
现在的流动是:
用户第一次注册时:
1)用户正在选择用户和密码(HTML表单)。
2)密码由散列函数和密钥(带有级联盐) (jQuery)进行散列。
3)散列结果被发送到服务器并存储在DB中。
任何登录名中的:
1)在欢迎页面中,密码被散列,结果被发送到服务器。
并与来自DB的哈希结果进行比较。2)如果密码正确,“将向客户端发送身份验证令牌,并将其存储在cookie中。
3)在每个页面中,令牌被发送到服务器并被验证。
**我的问题是:**
1)我对数据进行加密的方法是好的,还是缺乏(将其与SSL相比)?
2)如何防
浏览 3提问于2011-06-28得票数 0
4回答
是否安全方便地将jwt令牌存储在Localstorage或cookie中,并将用户的数据存储在上下文API中
reactjs、cookies、jwt、local-storage
我正在React中创建一个身份验证服务,我正在试图找到一种理想的方法,从后端存储JWT,并将其存储在cookie或localhost中,并将用户的数据存储在上下文API中,以便通过web访问用户的数据。
浏览 8提问于2022-04-10得票数 0
1回答
GWT会话和XSRF -最优解?
security、session、gwt、csrf
好吧,首先我在阅读的时候有点困惑
记住-绝不能依赖在cookie头中发送到服务器的sessionID;只需查看GWT应用程序在消息的有效负载中显式发送到服务器的sessionID。
在,因为我不完全理解XSRF的本质,我想:为什么id是如何被传输的呢?
然后我读了,现在我知道XSRF可以工作,尽管它不知道cookie内容(您的浏览器只是将它附加到请求中,所以您利用了浏览器对cookie内容的了解--尽管浏览器没有告诉‘您’或攻击者有关内容。cookie内容本身不受攻击的影响)。因此,任何了解cookie内容的证据都会验证请求不是XSRF的一部分。
我不喜欢GWT ()实现的解决方案,因
浏览 6提问于2014-03-20得票数 0
6回答
在浏览器中将JWT存储在哪里?如何防范CSRF?
security、authentication、cookies、csrf、jwt
我知道基于曲奇的认证。SSL和HttpOnly标志可用于保护基于cookie的身份验证不受MITM和XSS的影响。然而,需要采取更多的特别措施,以保护它不受中央应急基金的影响。他们只是有点复杂。()
最近,我发现JSON令牌(JWT)作为身份验证的解决方案非常热门。我了解有关编码、解码和验证JWT的内容。然而,我不明白为什么有些网站/教程告诉我们,如果使用JWT,就不需要CSRF保护。我读了很多书,并试图总结下面的问题。我只想有人提供一个更大的JWT图片,并澄清我误解了JWT的概念。
如果JWT存储在cookie中,我认为它与基于cookie的身份验证相同,只是服务器不需要有会话来验证co
浏览 7提问于2014-11-21得票数 293
回答已采纳
1回答
为什么JWT Wordpress插件推荐将令牌存储在cookie/localstorage中?
authentication、wordpress、jwt
阅读有关JWT的文章时,我附带了一个非常有趣的主题,如果jwt令牌在与wordpress一起使用时没有得到适当的安全保护,那么它就是jwt令牌的漏洞。
因此,问题是将令牌存储在cookie中将使其容易受到XSS或CSRF攻击,但是wp-api-jwt-auth的文档表示:
获得令牌后,必须将其存储在应用程序的某个位置,例如在cookie中或使用本地存储。
这是正确的吗?它不是很脆弱吗?
浏览 0提问于2019-01-26得票数 0
回答已采纳
1回答
基于令牌的web应用认证:如何缓存令牌?
session、authentication、cookies、access-token、web-storage
我正在尝试将一个web应用程序从“传统的”基于cookie的身份验证机制转换为一个纯粹基于令牌的认证机制。一旦客户端接收到令牌,就应该缓存该令牌,以减少开销。存储令牌的最佳方法是什么?
这就是我从googling中学到的:
我研究过的第一个很有希望的方法是浏览器会话存储,但据我所知,即使在各个选项卡之间,这也是不共享的,这意味着如果用户使用一个新的选项卡跟踪站点的链接,他们将不得不再次登录。
也有本地存储,但我希望用户在关闭浏览器时自动被注销,我也对存储中的令牌感到有些不安,尽管我在服务器端过期了。只是看起来不干净。
另一种方法是将令牌存储在会话cookie中,这意味着它既会在浏览器关闭时被杀
浏览 1提问于2014-04-20得票数 6
2回答
安全性: Java Spring Boot +角2+ JWT
java、angular、spring-boot、cookies、jwt
我正在开发一个网站,使用Spring 1.5.7作为后端,角2作为前端。我是两种技术的新手,这是我第一次尝试开发一个网站。所以我在很多事情上有点困惑。
我已经通过JWT实现了用户身份验证。当用户通过凭据登录时,后端验证它们,然后创建一个JWT并将其返回到前端:令牌以这种方式添加到报头中:
Authorization - Bearer <jwt token>
在前面,我检查这个键是否在post响应中。如果它在那里,我将它与用户名一起添加到localStorage中。
private authUrl = 'http://localhost:8080/login';
pr
浏览 0提问于2017-09-25得票数 3
1回答
如何使用HTTP只使用cookie来验证Django REST?
reactjs、django、django-rest-framework、django-react
我使用django rest框架并为我的项目响应js环境,为了存储jwt令牌本地存储,cookie是不安全的,所以我决定保存httponly cookie,如何实现身份验证?
如何在http标头中传递令牌
浏览 5提问于2020-11-07得票数 0
回答已采纳
1回答
我已经构建了一个REST,用户在其中登录,在某些情况下具有额外的权限(或者仅限于站点的某些区域;甚至是管理权限)。
我所建的东西:
JWT授权(添加到来自ES6客户端的每个请求中)
后端Python每次都检查JWT的签名、无效错误和过期。所有的检查都发生在每次请求之前..。在标题中(“授权承担者”)到后端。
Redis缓存,时间设置值,用于存储会话,以减少对每个请求的常量签名检查(覆盖上述位)。
Cookie在默认情况下仅限于域,是初始身份验证的主要传递。Cookie带来了用Python生成的JWT。
用于传输的HTTPS
我所有的请求都是application/json,除了两个表单,还有一
浏览 0提问于2019-03-21得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
