在使用NodeJS和(例如)AngularJS的SPA上存储JSON Web令牌以进行身份验证的最佳位置是什么?
到目前为止我得到了什么:
可能的地方:
可以通过同一域上的JavaScript访问Web存储(localStorage / sessionStorage)。这意味着您站点上运行的任何JavaScript都可以访问Web存储,因此可能容易受到跨站点脚本(XSS)攻击。
localStorage 具有不同的到期时间, sessionStorage 只有在创建它的窗口打开时才能访问。 localStorage 会一直持续到您删除它或用户删除它为止。
当与HttpOnly cookie标志一起使用时,Cookie 无法通过JavaScript访问,并且不受XSS的影响。但是,cookie很容易受到跨站点请求伪造(CSRF)的攻击。</ p>
那么存储JWT最安全的方式是什么
答案 0 :(得分:0)
答案 1 :(得分:0)
不要将Angular应用中的密钥保持为常量。如果要安全地验证JWT令牌,请从localStorage检索JWT,并在$ http.get()调用的Authorization标头中将其发送到服务器。
密钥只能由服务器上的代码查看/访问。当服务器从Authorization标头获取JWT时,它可以检查JWT有效负载是否已被篡改。如果它已经将某种授权错误返回到$ http.get()调用。