我们在哪里可以安全地存储JWT令牌?

时间:2020-05-07 14:11:54

标签: node.js reactjs mongodb authentication jwt 

1. User will do the login UserName and password.
2. If the login success then server will return JWT.
3. Now we will store the token.
4. Now for every request we will send the  JWT Token for authentication on server.

我的问题是,由于本地存储,会话,Cookies不安全,我们可以在哪里存储JWT令牌。

2 个答案:

答案 0 :(得分:0)

httpOnly cookie

这是一种特殊的Cookie,仅以HTTP请求的形式发送到服务器,并且永远无法通过浏览器中运行的JavaScript进行访问(无论是读取还是写入)。

检查以下内容: https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies

如果需要,可以使用此软件包使生活更轻松: https://www.npmjs.com/package/react-cookie

答案 1 :(得分:0)

“只有服务器应该知道用于生成JWT的“秘密”。如果有人修改了JWT中包含的数据,则服务器将无法对其进行解码。因此,服务器可以信任它可以解码的任何JWT。 。”

您不需要将JWT令牌存储在找不到的地方。而且,如果您认为如果黑客得到某人的令牌,则可以使用此选项的到期日期。

检查以下内容:How safe is JWT?

相关问题
最新问题