Javascript 2019年我应该将JWT存储在哪里?本地存储真的不安全吗?
有趣的话题。 因为我正在使用Node.js Api和React Redux客户端创建我的第一个真正更大的项目,所以我需要身份验证 现在我不知道如何“以正确的方式”处理身份验证。 因为我读了很多关于它的话题,但是机会不同 因此,一开始有人会立即说:不要将本地存储与JWT一起使用。 例如,这里有一篇文章: 以下是auth0的另一篇文章: 但后来我深入研究了认证的广泛领域,发现许多人表示: “本地存储与cookie一样安全” 例如,第一篇文章的第一条评论,第三条回复(这里有一个链接:) 我是说他说得对吗?在阅读了这篇文章以及其他一些文章和评论之后,他们说,如果您不是一家拥有非常合理数据的银行,那么将其存储在localStorage中是完全可以的 因此,我在2019年来到这里,不是一个初学者,也不是一个经验丰富的开发人员,我问自己应该如何实现这个身份验证流,而不会过于复杂(例如,有将jwt存储到httpOnly cookie中的流),但另一方面也不太容易破解。 我正在尝试创建一个论坛应用程序。您可以注册,创建自己的论坛,然后其他用户可以注册此论坛。所以基本的身份验证,我只是用JWT发送用户id和令牌Javascript 2019年我应该将JWT存储在哪里?本地存储真的不安全吗?,javascript,reactjs,security,session,authentication,Javascript,Reactjs,Security,Session,Authentication,有趣的话题。 因为我正在使用Node.js Api和React Redux客户端创建我的第一个真正更大的项目,所以我需要身份验证 现在我不知道如何“以正确的方式”处理身份验证。 因为我读了很多关于它的话题,但是机会不同 因此,一开始有人会立即说:不要将本地存储与JWT一起使用。 例如,这里有一篇文章: 以下是auth0的另一篇文章: 但后来我深入研究了认证的广泛领域,发现许多人表示: “本地存储与cookie一样安全” 例如,第一篇文章的第一条评论,第三条回复(这里有一个链接:) 我是说他说得对
我非常感谢你们的机会和建议 在早期阶段存储JWT非常简单。将其作为从服务器发回的哈希存储在localstorage中。不是普通的JWT令牌。并利用
httpOnly-
-
TL;DR您应该使用
httpOnly:truehttpOnly