首頁(yè) 猿問(wèn) 在哪里以及如何保存令牌 JWT...

在哪里以及如何保存令牌 JWT ？（最佳實(shí)踐）

JavaScript

胡子哥哥 2022-06-16 15:20:56

我讀過(guò)在 localStorage 中保存令牌 JWT 是一種不好的做法。 https://dev.to/rdegges/please-stop-using-local-storage-1i04 我正在使用 ReactJs，而在另一邊有一個(gè)使用 NodeJs 的 API Rest。我應(yīng)該在哪里以及如何將令牌 JWT 保存在 Cookie 中？

查看完整描述

2 回答

HUX布斯

TA貢獻(xiàn)1876條經(jīng)驗(yàn) 獲得超6個(gè)贊

如果在 cookie 和 localStorage 之間進(jìn)行選擇，那么在安全性方面兩者各有利弊。正確設(shè)置所有安全屬性（HttpOnly、secure、SameSite=strict）確實(shí)可以更好地保護(hù) cookie 免受某些攻擊。

但是，SameSite 屬性可能并不適用于所有人，并且可能無(wú)法保護(hù)所有功能免受 CSRF（跨站點(diǎn)請(qǐng)求偽造）攻擊。

HttpOnly 將保護(hù)該值不被 JavaScript 訪(fǎng)問(wèn)，如果應(yīng)用程序遭受 (XSS) 跨站點(diǎn)腳本漏洞，這是很好的。但是，任何中等資格的攻擊者都可以輕松實(shí)現(xiàn)他們想要的，而無(wú)需訪(fǎng)問(wèn)令牌的實(shí)際價(jià)值。

在 localStorage 中存儲(chǔ)令牌時(shí)要記住的是，當(dāng)瀏覽器關(guān)閉時(shí)它不會(huì)被清除，這意味著用戶(hù)不會(huì)通過(guò)關(guān)閉瀏覽器而注銷(xiāo) - 這是許多人所期望的。如果這是一個(gè)問(wèn)題，您可能需要考慮將 JWT 存儲(chǔ)在 sessionStorage 中。

反對(duì) 回復(fù) 2022-06-16