我们正在做一个Html5 AngularJS应用程序。我们使用基于令牌的身份验证。验证过程将用户登录,然后将JWT令牌返回到存储在sessionStorage中的应用程序。
我们要求对应用程序进行安全审核,测试人员说,令牌存储在sessionStorage中是一个很大的问题。因为他可以复制令牌并模仿来自其他设备的用户。
我应该在何处以及如何存储此令牌以确保其安全?因为黑客需要访问实际设备来执行此攻击,所以甚至存在将其留在会话存储中的风险
问候
答案 0 :(得分:0)
提高令牌存储安全性的一种方法是将令牌存储在Cooke中,并设置HttpOnly标志。这意味着只有当您的应用发出http请求时才能访问令牌。