1. 首頁
  2. 問答
  3. 無狀態後端是否安全?

無狀態後端是否安全?

2015-08-13 90 views
0

我正在開發角度和彈簧的應用程序。而且我對無狀態後端安全性有點困惑。這裏的流動 -無狀態後端是否安全?

  1. 在請求頭我發送電子郵件,並通過編碼服務器的base64返回它具有JWT令牌

  2. 因爲它只是一個HTTP和安全標誌的Cookie客戶端無關餅乾用它。在對服務器的每個請求中,它都會附加到請求標頭。

  3. 爲了更深入地瞭解用戶活動,我使用mouse-enter,mouseleave函數將活動發佈到db中。

  4. 我保護我的應用程序對CSRF通過發送客戶端令牌

我不太清楚,如果它是足夠安全的,如果我真的需要存儲任何令牌或cookie的相關數據安全。

來源

2015-08-13 Ansh Agarwal

+0

我假設您使用的是SSL? –

+0

@BertrandMartel是的IM –

+0

據我所知在智威湯遜,如果你想要更多的安全,你應該確保令牌是不一樣的,當用戶重新記錄(保證旋轉),你可以使用每個用戶不同的祕密太 –

回答

2

人們似乎對確保無狀態後端的懷疑態度。例如,官方Spring Angular guide報價:

這很絕對是一件好事,使用會話的認證和CSRF保護

此演示文稿由羅布絞盤,春季安全的項目負責人,是也是一塊寶石看:The State of Securing RESTful APIs with Spring

事實上,看着這些,我總結爲我的API保持有狀態,而不是不必要地重新發明敏感的安全輪。

來源

2015-08-13 06:36:57 Sanjay

+0

要去嘗試這樣做,謝謝 –

+0

好吧,什麼我基本上做的是,模仿網絡客戶端,通過發送JSESSIONID的cookie,請記住-ME餅乾等與每個請求。 KISS方法。 – Sanjay

相關問題

 相關問題