Session 在Laravel5.1中为用户使用JWT'；s认证_Session_Laravel_Cookies_Csrf_Jwt

Session 在Laravel5.1中为用户使用JWT'；s认证

session laravel cookies jwt

Session 在Laravel5.1中为用户使用JWT'；s认证,session,laravel,cookies,csrf,jwt,Session,Laravel,Cookies,Csrf,Jwt,我正在建立一个Laravel网站，我正在努力解决用户识别问题我想在Cookie中使用JWT（JSON Web令牌）。但AFAIK Cookie易受MITM和CSRF攻击，我希望避免这种情况另一方面，使用本地存储似乎容易受到XSS攻击考虑到我使用的平台，有没有一种合理的方法可以让用户识别出尽可能少的安全问题？JWT已经内置了一些加密和消息验证功能，并且Laravel允许您对cookie本身进行加密，因此MITM不会导致任何信息泄露。你唯一需要担心的是MITMer会抓住cookie并按原样重新

我正在建立一个Laravel网站，我正在努力解决用户识别问题

我想在

Cookie

中使用

JWT

（JSON Web令牌）。但AFAIK Cookie易受MITM和CSRF攻击，我希望避免这种情况

另一方面，使用

本地存储

似乎容易受到XSS攻击

考虑到我使用的平台，有没有一种合理的方法可以让用户识别出尽可能少的安全问题？

JWT已经内置了一些加密和消息验证功能，并且Laravel允许您对cookie本身进行加密，因此MITM不会导致任何信息泄露。你唯一需要担心的是MITMer会抓住cookie并按原样重新使用它。解决方案是将用户的会话绑定到单个IP地址，并需要频繁的会话更新。此外，请确保已正确设置仅限HTTPS访问。就CSRF保护而言，应该使用与登录机制完全无关的内置CSRF令牌来实现。Laravel 5.1中CSRF保护的问题是框架需要保留Laravel的会话Cookie来创建X-SRF令牌Cookie。因此，我以Laravel的默认cookie结束，我添加了一个（使用JWT），我仍然在处理会话…这就是为什么我不认为使用JWT代替Laravel的默认会话身份验证有什么意义。JWT已经内置了一些加密和消息验证，Laravel还允许您加密cookie本身，所以MITM不会泄露任何信息。你唯一需要担心的是MITMer会抓住cookie并按原样重新使用它。解决方案是将用户的会话绑定到单个IP地址，并需要频繁的会话更新。此外，请确保已正确设置仅限HTTPS访问。就CSRF保护而言，应该使用与登录机制完全无关的内置CSRF令牌来实现。Laravel 5.1中CSRF保护的问题是框架需要保留Laravel的会话Cookie来创建X-SRF令牌Cookie。因此，我以Laravel的默认cookie结束，我添加的cookie（使用JWT），我仍然在处理会话…这就是为什么我不认为使用JWT代替Laravel的默认会话身份验证有什么意义。