Java Angular JWT 实现
Posted
技术标签:
【中文标题】Java Angular JWT 实现【英文标题】:Java Angular JWT implementation 【发布时间】:2018-11-27 18:22:44 【问题描述】:我想听听关于我的 JWT 身份验证流程的一些意见。
而
如果我将令牌存储在本地/会话存储中,XSS 攻击是可能的, 如果我将令牌存储在仅 http/secure 的 cookie 中,则可能发生 CRSF 攻击。
我的解决方案是将令牌分成两部分,一是放入cookie,一是放入本地存储,并通过标头传回服务器。后端加入部件并验证请求。
这是一个正确的实现吗?
【问题讨论】:
【参考方案1】:您可以将其拆分为两部分,也可以验证 cookie 中的令牌是否与本地存储中的令牌匹配。如果令牌太长,您可以只在 cookie 和本地存储中存储一个 UUID 或一些唯一键。服务器应该期待令牌,并且 cookie 中的密钥与本地存储中的密钥匹配。
在 OWASP 中查看 Double Submit Cookie。
【讨论】:
以上是关于Java Angular JWT 实现的主要内容,如果未能解决你的问题,请参考以下文章