如何在浏览器中安全地存储 JWT？

Posted 2023-03-10

【中文标题】如何在浏览器中安全地存储 JWT？

【英文标题】：How to securely store JWT in browser?

【发布时间】：2021-03-28 23:04:03

【问题描述】：

我在前端使用 Angular 10。我从后端服务获取 JWT。我需要将我的 Okta JWT 安全地存储在浏览器中。我研究了将令牌存储在 window.sessionStorage 或 window.localStorage 或仅 HTTP 安全 cookie 中。但是，我不确定如何避免 XSS 和 XSRF 攻击。

安全存储 JWT 和遍历遵守 XSS 和 XSRF 预防的最佳方法是什么？

提前致谢

【问题讨论】：

您无法在浏览器中安全地存储任何内容。只需存储您的 JWT。如果您愿意，您甚至可以将其展示在您的网站上，面对世界。没关系，因为无论如何您的令牌都将在服务器端验证，而不是在浏览器端验证。

这能回答你的问题吗？ Where to store JWT in browser? How to protect against CSRF?

XSS 和 CSRF 攻击与您存储 JWT 令牌的方式没有任何关系。

在我的情况下，我将 JWT 令牌存储在 LocalStorage 中，我在后端有一个中间件，可根据请求验证和验证令牌。

您可以使用 AES 加密令牌并在运行时存储、解密以进行任何服务器端调用

【参考方案1】：

客户端保存的数据不可能是“安全的”。没有什么比一个过期时间短的 JsonWebToken 实现更多了。通过将它们保存在本地存储中，您可以在需要使用令牌与服务器通信的情况下对它们进行额外的加密和解密。

我推荐阅读 George Koniaris 的这篇 article。