Session 在Laravel5.1中为用户使用JWT';s认证

Session 在Laravel5.1中为用户使用JWT';s认证,session,laravel,cookies,csrf,jwt,Session,Laravel,Cookies,Csrf,Jwt,我正在建立一个Laravel网站,我正在努力解决用户识别问题 我想在Cookie中使用JWT(JSON Web令牌)。但AFAIK Cookie易受MITM和CSRF攻击,我希望避免这种情况 另一方面,使用本地存储似乎容易受到XSS攻击 考虑到我使用的平台,有没有一种合理的方法可以让用户识别出尽可能少的安全问题?JWT已经内置了一些加密和消息验证功能,并且Laravel允许您对cookie本身进行加密,因此MITM不会导致任何信息泄露。你唯一需要担心的是MITMer会抓住cookie并按原样重新

我正在建立一个Laravel网站,我正在努力解决用户识别问题

我想在
Cookie
中使用
JWT
(JSON Web令牌)。但AFAIK Cookie易受MITM和CSRF攻击,我希望避免这种情况

另一方面,使用
本地存储
似乎容易受到XSS攻击


考虑到我使用的平台,有没有一种合理的方法可以让用户识别出尽可能少的安全问题?

JWT已经内置了一些加密和消息验证功能,并且Laravel允许您对cookie本身进行加密,因此MITM不会导致任何信息泄露。你唯一需要担心的是MITMer会抓住cookie并按原样重新使用它。解决方案是将用户的会话绑定到单个IP地址,并需要频繁的会话更新。此外,请确保已正确设置仅限HTTPS访问。就CSRF保护而言,应该使用与登录机制完全无关的内置CSRF令牌来实现。Laravel 5.1中CSRF保护的问题是框架需要保留Laravel的会话Cookie来创建X-SRF令牌Cookie。因此,我以Laravel的默认cookie结束,我添加了一个(使用JWT),我仍然在处理会话…这就是为什么我不认为使用JWT代替Laravel的默认会话身份验证有什么意义。JWT已经内置了一些加密和消息验证,Laravel还允许您加密cookie本身,所以MITM不会泄露任何信息。你唯一需要担心的是MITMer会抓住cookie并按原样重新使用它。解决方案是将用户的会话绑定到单个IP地址,并需要频繁的会话更新。此外,请确保已正确设置仅限HTTPS访问。就CSRF保护而言,应该使用与登录机制完全无关的内置CSRF令牌来实现。Laravel 5.1中CSRF保护的问题是框架需要保留Laravel的会话Cookie来创建X-SRF令牌Cookie。因此,我以Laravel的默认cookie结束,我添加的cookie(使用JWT),我仍然在处理会话…这就是为什么我不认为使用JWT代替Laravel的默认会话身份验证有什么意义。