Jhipster 隐藏不记名令牌
Posted
技术标签:
【中文标题】Jhipster 隐藏不记名令牌【英文标题】:Jhipster hide bearer token 【发布时间】:2021-12-17 01:14:04 【问题描述】:我正在使用带有 jwt 令牌的 jhipster 进行身份验证。但是登录后,jhipster 将 token 存储在浏览器的 localstore 中。如果我将它复制并粘贴到另一个浏览器和 F5,它会自动登录那里。那么如果黑客有令牌,他们可以不用密码登录吗?
【问题讨论】:
【参考方案1】:对,这就是为什么令牌的生命周期应该很短并且应该经常刷新(但是 JHipster JWT 没有刷新,JHipster OAuth2 有)。
作为替代方案,您可以在 cookie 中传递令牌(安全和 httpOnly),以便 JS 代码无法读取它,但如果您的 cookie 被盗,除非您与 CSRF 结合使用,否则您将处于相同状态.
对于 JHipster 应用程序:
对于单体应用,基于会话的身份验证比 JWT 更安全。 对于微服务,OAuth2 是比 JWT 更好的选择。您还可以将 IP 地址作为声明添加到您的令牌中,并验证它与服务器中的请求匹配。
【讨论】:
我能问你如何使用安全和 httpOnly 将令牌保存在 cookie 中,以及如何读取它的值。谢谢你 这是在 Java 后端的服务器端完成的,您无法在前端读取它的值,因为这就是将其设置为 httpOnly 的全部意义所在。浏览器会在每次请求时自动将其发送回服务器,无需编码。单体还是微服务? ***.com/questions/38341114/…以上是关于Jhipster 隐藏不记名令牌的主要内容,如果未能解决你的问题,请参考以下文章