Jhipster 隐藏不记名令牌

Posted 2023-02-27

【中文标题】Jhipster 隐藏不记名令牌

【英文标题】：Jhipster hide bearer token

【发布时间】：2021-12-17 01:14:04

【问题描述】：

我正在使用带有 jwt 令牌的 jhipster 进行身份验证。但是登录后，jhipster 将 token 存储在浏览器的 localstore 中。如果我将它复制并粘贴到另一个浏览器和 F5，它会自动登录那里。那么如果黑客有令牌，他们可以不用密码登录吗？

【参考方案1】：

对，这就是为什么令牌的生命周期应该很短并且应该经常刷新（但是 JHipster JWT 没有刷新，JHipster OAuth2 有）。

作为替代方案，您可以在 cookie 中传递令牌（安全和 httpOnly），以便 JS 代码无法读取它，但如果您的 cookie 被盗，除非您与 CSRF 结合使用，否则您将处于相同状态.

对于 JHipster 应用程序：

对于单体应用，基于会话的身份验证比 JWT 更安全。 对于微服务，OAuth2 是比 JWT 更好的选择。

您还可以将 IP 地址作为声明添加到您的令牌中，并验证它与服务器中的请求匹配。

【讨论】：

我能问你如何使用安全和 httpOnly 将令牌保存在 cookie 中，以及如何读取它的值。谢谢你

这是在 Java 后端的服务器端完成的，您无法在前端读取它的值，因为这就是将其设置为 httpOnly 的全部意义所在。浏览器会在每次请求时自动将其发送回服务器，无需编码。单体还是微服务？ ***.com/questions/38341114/…