我是角度4的新手。我的问题是如何处理angular4中的安全性。我正在使用rest web服务和JWT令牌来获取用户信息。
我的登录流程是:
用户登录 - >返回JWT令牌 - >存储在本地存储/会话中 存储
将此JWT令牌发送给每个请求。
现在如果我在其他浏览器中复制此令牌,它将显示其他用户的信息。
所以我想如果用户将粘贴令牌复制到其他浏览器/私有窗口然后用户logedout。
任何想法???
答案 0 :(得分:0)
如果用户将JWT复制到另一个浏览器,则服务器无法检测到。例如。您可以将用户代理存储在JWT中,并检查来自HTTP请求和JWT的用户代理字符串是否相同,但攻击者可以轻易绕过这一点。
您可以将JWT绑定到特定的IP。
答案 1 :(得分:0)
始终有一种方法可以“偷”"来自其他用户的Cookie和令牌,将其粘贴到您的浏览器中,从而窃取用户的会话。 看看XSS。
没有100%的防御。
当然,您可以存储一些其他信息,例如MAC地址或smth,并将它们与您的JWT令牌一起映射,但基本上,它会毫无意义。