我正在学习JWT流,我发现很多潜在的安全问题(例如XSS)
cf. medium.com/hackernoon/all-you-need-to-know-about-user-session-security
我了解的主要问题是:
为什么不使用cookie进行身份验证(会话存储在服务器中),而不使用JWT进行授权?
客户端发送cookie + JWT,服务器确保客户端是JWT的正确所有者。
如果密码更改(在会话存储中修改机密)或注销(在浏览器中删除cookie)或硬注销(在服务器中的会话删除),则更容易使之失效。
主要缺点是请求大小更大(客户端发送cookie + JWT),并且您维护了会话存储,但是JWT似乎不能以任何方式用于会话。
我是新手,但似乎可以解决这个问题,而且我找不到有关此方面的信息或评论。
对不起,我的英语?