我想听听有关我的JWT身份验证流程的一些意见。
尽管
如果我将令牌存储在本地/会话存储中,则可以进行XSS攻击, 如果我将令牌存储在仅限http / secure的cookie中,则可以进行CRSF攻击。
我的解决方案是将令牌分成两部分,一部分放入cookie,另一部分放入本地存储,然后通过标头传回服务器。后端连接部件并验证请求。
这是正确的实施吗?
答案 0 :(得分:0)
您可以将其拆分为两部分,也可以验证Cookie中的令牌是否与本地存储中的令牌匹配。如果令牌太长,您只需在cookie和本地存储中存储UUID或某个唯一键即可。服务器应该期望令牌,并且cookie中的密钥与本地存储中的密钥匹配。
请参阅OWASP中的Double Submit Cookie。