Symfony 在哪里存储和获取不记名令牌并做出反应？

Posted 2023-02-16

【中文标题】Symfony 在哪里存储和获取不记名令牌并做出反应？

【英文标题】：Where to store and get bearer token with Symfony & react?

【发布时间】：2022-01-13 06:06:19

【问题描述】：

我正在为前端开发一个反应应用程序和一个用于后端的 symfony api。我希望用户通过 api 访问数据。我成功安装了 Lexik JWT 身份验证。

我了解到，出于安全原因 (XSS)，不应该将承载令牌发送到响应中，也不应该将其存储在本地存储或客户端 cookie 文件中。所以我覆盖了这个监听器：

$response->headers->setCookie(new Cookie('BEARER', $tokenJWT, (
            new \DateTime())
            ->add(new \DateInterval('PT' . $this->jwtTokenTTL . 'S')), '/', null, $this->cookieSecure));

现在，我希望我的 react 前端可以访问此令牌，以便在请求中发送它。这个怎么做？有没有更好的方法？

谢谢！

【参考方案1】：

我读到不应该将承载令牌发送到响应和 不应存储在本地存储或客户端 cookie 中 文件，出于安全原因 (XSS)。所以我覆盖了这个监听器：

这是不正确的，因为大多数现实世界的应用程序都使用这种方法。除非出现一些极端的方法，否则您可以继续存储在 localstorage 或 cookie 中。

您可能已经读过您不应该将带有敏感数据的 JWT 发送到前端。如果您使用的是包含敏感数据的 JWT，请确保您对其进行验证并加密并将其发送到客户端。

如果您不确定您的 JWT 包含哪些信息，您可以访问 https://jwt.io/ 并查看其中包含的内容。如果可以，请确保加密您的 JWT 并在客户端解码。但如果它已经加密，你可以离开它