NodeJS:在客户端存储JWT的位置? sessionStorage,localStorage还是cookies?

时间:2015-06-16 09:35:33

标签: angularjs node.js authentication cookies jwt

在使用NodeJS和(例如)AngularJS的SPA上存储JSON Web令牌以进行身份​​验证的最佳位置是什么?

到目前为止我得到了什么:

可能的地方:

  • HTML5网络存储(localStorage / sessionStorage)
  • 缓存

可以通过同一域上的JavaScript访问Web存储(localStorage / sessionStorage)。这意味着您站点上运行的任何JavaScript都可以访问Web存储,因此可能容易受到跨站点脚本(XSS)攻击。

localStorage 具有不同的到期时间, sessionStorage 只有在创建它的窗口打开时才能访问。 localStorage 会一直持续到您删除它或用户删除它为止。

当与HttpOnly cookie标志一起使用时,

Cookie 无法通过JavaScript访问,并且不受XSS的影响。但是,cookie很容易受到跨站点请求伪造(CSRF)的攻击。<​​/ p>

那么存储JWT最安全的方式是什么

2 个答案:

答案 0 :(得分:0)

  • sessionStorage:如果您希望存储令牌直到页面关闭。
  • localStorage:用于持久存储。
  • cookies:帮助令牌在一段时间后过期。

答案 1 :(得分:0)

不要将Angular应用中的密钥保持为常量。如果要安全地验证JWT令牌,请从localStorage检索JWT,并在$ http.get()调用的Authorization标头中将其发送到服务器。

密钥只能由服务器上的代码查看/访问。当服务器从Authorization标头获取JWT时,它可以检查JWT有效负载是否已被篡改。如果它已经将某种授权错误返回到$ http.get()调用。