2
我正在研究我的REST API的HTTP安全性,我希望通過使用Double Submit Cookie模式來使它更安全,但我確信我實際上正在做類似的事情(完全是偶然的)。XSRF和雙提交cookie JWT的替代方案 - 這個實現是否安全?
這是我的流程:
- 客戶端發出一個POST請求到服務器的用戶名和密碼。
- 服務器使用JWT令牌進行響應。
- 客戶端將令牌保存到cookie中。
- 在隨後的請求中,客戶端讀取令牌cookie並將令牌放入授權標頭(我非常肯定這一步與雙重cookie提交技術相當)。
- 服務器根據授權標頭中的有效標記驗證用戶。
現在這不是100%equivelent作爲服務器沒有檢查cookie和HTTP頭匹配(這將是微不足道的,如果我需要添加)。
我到目前爲止是否足以阻止XSRF攻擊,還是應該添加XSRF-TOKEN cookie?
我認爲這個實現相當於雙提交cookie,並且可以安全地阻止CSRF攻擊。此外,使用JWT令牌時,這是一個非常乾淨的解決方案。但是,正如@mevdschee所述,JWT令牌內容暴露給攻擊者,因爲它不能是HttpOnly。 – shaochuancs