Java Angular JWT 实现

Posted

技术标签:

【中文标题】Java Angular JWT 实现【英文标题】:Java Angular JWT implementation 【发布时间】:2018-11-27 18:22:44 【问题描述】:

我想听听关于我的 JWT 身份验证流程的一些意见。

如果我将令牌存储在本地/会话存储中,XSS 攻击是可能的, 如果我将令牌存储在仅 http/secure 的 cookie 中,则可能发生 CRSF 攻击。

我的解决方案是将令牌分成两部分,一是放入cookie,一是放入本地存储,并通过标头传回服务器。后端加入部件并验证请求。

这是一个正确的实现吗?

【问题讨论】:

【参考方案1】:

您可以将其拆分为两部分,也可以验证 cookie 中的令牌是否与本地存储中的令牌匹配。如果令牌太长,您可以只在 cookie 和本地存储中存储一个 UUID 或一些唯一键。服务器应该期待令牌,并且 cookie 中的密钥与本地存储中的密钥匹配。

在 OWASP 中查看 Double Submit Cookie。

【讨论】:

以上是关于Java Angular JWT 实现的主要内容,如果未能解决你的问题,请参考以下文章

前端小白之每天学习记录----angula2--

使用 angular 和 express-jwt 实现刷新令牌

Angular 5 中的 JWT 授权

没有 Oauth 的 JWT 实现

Angular2登录服务jwt令牌

如何在 Angular 2.0 中进行 JWT 授权