我已經在我的項目中實現了基於tokken的身份驗證,而不是基於cookie會話的身份驗證。所以,在jwt(jason-web-tokkens)中,每次都發送請求給服務器,我在頭文件中附加了tokken,並將它發送給服務器,並在第一次生成tokkkne時使用該密鑰驗證它,併發送給我響應。現在,我擔心它,首先將tokken保存在瀏覽器的本地存儲中。雖然tokken被哈希了,但如果黑客只是將它從存儲中取出並使用它呢?有誰能告訴我它是如何阻止CORS攻擊的? 我很困惑,在網上找不到任何可靠的答案。JWT認證是否安全?它如何保護CORS?
由CORS我認爲你指的是XSS攻擊?如果是這樣,防止XSS的最好方法是保護您的應用程序免受不可信的輸入。這是說起來容易做,這裏是一些信息:
https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet
防止XSS的更簡單的方法是將令牌存儲在一個安全的HTTP cookie的唯一。這意味着Javascript環境不能觸及它,它只會通過安全渠道發送。
沒有免費的雖然:)如果你把令牌在cookie中,你還需要安裝一個CSRF的預防策略:
https://www.owasp.org/index.php/CSRF_Prevention_Cheat_Sheet
這可能是很多參加!
我工作在Stormpath和我最近寫了這個博客文章,涵蓋了這些主題:Token Based Authentication for Single Page Apps (SPAs)