Javascript 如何使用java脚本或angular安全地存储J.W.T令牌?
我找到了3种方法将其保存在客户端本地存储/会话存储/cookies上。但这还不够安全。因为客户端或黑客可以修改或替换为另一个有效的重新生成的J.W.T-token。 我想以加密的方式存储一个令牌或者一些不可能被破解的东西。。。 请让我知道专业的工作方式或存储访问令牌Javascript 如何使用java脚本或angular安全地存储J.W.T令牌?,javascript,angularjs,node.js,jwt,access-token,Javascript,Angularjs,Node.js,Jwt,Access Token,我找到了3种方法将其保存在客户端本地存储/会话存储/cookies上。但这还不够安全。因为客户端或黑客可以修改或替换为另一个有效的重新生成的J.W.T-token。 我想以加密的方式存储一个令牌或者一些不可能被破解的东西。。。 请让我知道专业的工作方式或存储访问令牌 这还不够安全,因为客户端或黑客可以修改或替换为另一个有效的重新生成的J.W.T-token 因此,尽管我不确定您的具体应用程序要求,但我要说的是:通过cookies在客户端存储是一种可行的方法。。。Cookie不易受XSS攻击,CS
这还不够安全,因为客户端或黑客可以修改或替换为另一个有效的重新生成的J.W.T-token
因此,尽管我不确定您的具体应用程序要求,但我要说的是:通过cookies在客户端存储是一种可行的方法。。。Cookie不易受XSS攻击,CSRF是现代框架的一个简单修复方法。例如,仅通过HTTPS发送JWT cookie,并设置HttpOnly标志,可能还设置安全标志。这是一种非常标准的做法,因为它比web存储更安全 不要将其存储在客户端,这样会使其安全。将其与CSRF令牌的安全cookie一起存储在HttpOnly/secure cookie中可能是最安全的。但您将无法访问存储的数据,因为客户端或黑客可以修改或替换为另一个有效的重新生成的J.W.t-token。我想以加密的方式存储一个令牌或者一些不可能破解的东西。这条语句表明您对JWTs的工作方式有一个基本的误解。如果你对它们进行了正确的签名,黑客就不可能修改或替换它们。此外,如果你喜欢的话,该规范允许加密来隐藏有效负载。不管怎样,@Paul的评论是完全正确的。无论您将jwt存储在何处,如果有人修改或替换为另一个令牌,API安全机制必须能够检测到它。