无论在JWT还是session中,我都搜索并阅读了许多cookie存放位置的文章,但是我不知道什么是正确的存放{{ 1}}在我的JWT应用中
我正在将react redux存储在会话存储中,但是很容易从开发人员工具中获取。如果我尝试使用JWT HTTPonly,那么{{1 }}。因此,我担心在哪里存储无法向用户公开的JWT令牌,或者应该采取什么步骤或措施来确保应用程序的安全性,以使用户不了解jwt令牌
请提供建议
答案 0 :(得分:1)
我认为这可能会有所帮助:
使用httpOnly secure cookie。
当您向服务器发出请求时,Cookie会自动发送到服务器,尽管(相关)仅发送了相关的Cookie。
您应该在身份验证服务器端进行操作,而不必担心在客户端JS的单个请求中传递JWT cookie。这是缓解我所知道的XSS攻击的唯一好方法
答案 1 :(得分:0)
您应该将令牌存储在local storage,session storage中,我认为您无法向用户隐藏任何客户端信息。