JWT应该保存在哪里?你找到了吗?

网络 通信技术
最近几年的项目我都用JWT作为身份验证令牌。我一直有一个疑问:服务端发放给浏览器的JWT到底应该存储在哪里?这里只讨论浏览器的场景,在这个场景里有三种选择。

[[428158]]

最近几年的项目我都用JWT作为身份验证令牌。我一直有一个疑问:服务端发放给浏览器的JWT到底应该存储在哪里?这里只讨论浏览器的场景,在这个场景里有三种选择。

Cookie

服务端可以将JWT令牌通过Cookie发给浏览器,浏览器在请求服务端接口时会自动在Cookie头中带上JWT令牌,服务端对Cookie头中的JWT令牌进行检验即可实现身份验证。但它容易受到CSRF攻击的影响。

解决的方法是通过设置Cookie的SameSite属性为Strict。跨站时不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。

Cookie除了易受CSRF攻击还有XSS攻击。黑客可以通过JS脚本读取Cookie中的信息。为了防止这一点,可以设置Cookie的属性为HttpOnly。

  1. response.setHeader("Set-Cookie""jwt=jwt_value;Path=/;Domain=domainvalue;Max-Age=seconds;HttpOnly"); 

你可以通过设置Max-Age来设置其生存时间。

localStorage

localStorage也可以存储JWT令牌,这种方法不易受到 CSRF 的影响。但是和Cookie不同的是它不会自动在请求中携带令牌,需要通过代码来实现。不过这样会受到XSS攻击。另外如果用户不主动清除JWT令牌,它将永远存储到localStorage。

sessionStorage

sessionStorage大部分特性类似localStorage,不过它的生命周期不同于localStorage,它是会话级存储。关闭页面或浏览器后会被清除。

总结

您可能会注意到所有 3 种方法都有相同的缺点——“易受 XSS 攻击”。请特别注意 XSS的防护,并始终遵循XSS保护的最佳实践。

结论

三种形式都容易收到XSS攻击,因此如果对安全性要求很高,要特别针对性的配置。在三种方式之中,Cookie 提供了一堆安全选项,例如SameSite、HttpOnly等。因此最好使用 Cookie。

本文转载自微信公众号「码农小胖哥」,可以通过以下二维码关注。转载本文请联系码农小胖哥公众号。

 

责任编辑:武晓燕 来源: 码农小胖哥
相关推荐

2022-07-11 08:48:52

业务转型CIO

2014-01-07 13:54:40

Hadoop日志

2020-10-20 07:49:00

JWT(JSON We

2015-05-26 09:35:29

运维运维危机云计算应用

2019-02-18 09:45:53

CIO预算BI

2023-10-31 08:36:16

LodashJavaScript

2012-03-24 20:31:59

移动游戏

2020-04-14 08:46:47

Java对象编译器

2022-10-13 08:43:24

大数据语法SQL

2021-09-03 06:46:34

MyBatis缓存后端

2011-06-28 09:16:11

切克签到

2018-07-24 08:21:35

长生生物疫苗国内

2018-10-25 15:04:22

编程程序员陷阱

2021-10-25 08:48:21

客户体验CIOIT领导者

2012-08-09 12:21:04

打印机

2021-12-26 18:30:56

嵌入式ARM链接

2017-10-24 12:32:03

小程序APPbug

2022-08-19 09:34:46

管理能力

2021-07-29 18:46:52

可视化类型图形化

2010-11-12 09:00:38

点赞
收藏

51CTO技术栈公众号