Usbforwindows
- Come posso salvare un token JWT in un cookie??
- Come faccio a salvare JWT in httpOnly cookie?
- Come conservo i token JWT nell'archiviazione locale??
- Dove dovrebbero essere archiviati i token JWT??
- È sicuro memorizzare il token di accesso nei cookie??
- httpOnly Cookie è sicuro??
- È sicuro memorizzare JWT in localStorage??
- JavaScript può impostare il cookie HttpOnly??
- Come posso aggiornare i token JWT??
- Cosa succede quando il token JWT scade?
- I token JWT sono sicuri??
- JWT è uguale a OAuth??
Come posso salvare un token JWT in un cookie??
Refactoring per memorizzare JWT in un cookie. Il primo passo per passare all'uso dei cookie è fare in modo che la nostra API imposti un cookie nel browser dell'utente dopo che è riuscito ad accedere. I cookie vengono impostati nel browser se la risposta a una chiamata HTTP contiene un'intestazione Set-Cookie.
Come faccio a salvare JWT in httpOnly cookie??
Conserva il tuo token di accesso in memoria e memorizza il token di aggiornamento nel cookie: Link a questa sezione
- Usa il flag httpOnly per impedire a JavaScript di leggerlo.
- Usa il flag secure=true in modo che possa essere inviato solo su HTTPS.
- Usa il flag SameSite=strict quando possibile per prevenire CSRF.
Come conservo i token JWT nell'archiviazione locale??
Per prima cosa devi creare o generare Token tramite Jwt (jsonWebTokens), quindi memorizzarlo nella memoria locale o tramite Cookie o tramite Session. In genere preferisco l'archiviazione locale perché è più facile archiviare il token nell'archivio locale tramite SET e recuperarlo utilizzando il metodo GET.
Dove dovrebbero essere archiviati i token JWT??
La maggior parte delle persone tende a memorizzare i propri JWT nella memoria locale del browser web. Questa tattica lascia le tue applicazioni aperte a un attacco chiamato XSS. Discuteremo solo XSS nel contesto JWT, puoi trovare ulteriori informazioni qui.
È sicuro memorizzare il token di accesso nei cookie??
L'archiviazione locale è vulnerabile perché è facilmente accessibile tramite JavaScript e un utente malintenzionato può recuperare il token di accesso e utilizzarlo in un secondo momento. Tuttavia, sebbene i cookie httpOnly non siano accessibili utilizzando JavaScript, ciò non significa che utilizzando i cookie sei al sicuro dagli attacchi XSS che coinvolgono il tuo token di accesso.
httpOnly Cookie è sicuro??
Tutto ciò che fa è impedire allo script di leggere il cookie. ... HttpOnly non proteggerà affatto se c'è una pagina che riflette i valori del cookie dal server. Un XSS potrebbe semplicemente leggere la risposta del server.
È sicuro memorizzare JWT in localStorage??
Se non hai una buona ragione per mettere il tuo JWT nella memoria locale, non farlo! Per impostazione predefinita, memorizzarlo in un cookie (con i flag secure , httpOnly e sameSite impostati). Se hai una buona ragione per metterlo nella memoria locale, fallo!
JavaScript può impostare il cookie HttpOnly??
Un cookie HttpOnly significa che non è disponibile per linguaggi di script come JavaScript. Quindi in JavaScript, non c'è assolutamente alcuna API disponibile per ottenere/impostare l'attributo HttpOnly del cookie, poiché ciò annullerebbe il significato di HttpOnly .
Come posso aggiornare i token JWT??
L'idea è di generare due token: un token di accesso (valido per 10 minuti) e un token di aggiornamento, con una durata maggiore. Ogni volta che il token di accesso scade, l'app lato client invia una richiesta per generare un nuovo token di accesso, utilizzando il token di aggiornamento.
Cosa succede quando il token JWT scade?
Quell'utente ha fondamentalmente da 5 a 10 minuti per utilizzare il JWT prima che scada. Una volta scaduto, utilizzeranno il loro token di aggiornamento corrente per provare a ottenere un nuovo JWT. Poiché il token di aggiornamento è stato revocato, questa operazione fallirà e saranno costretti ad accedere nuovamente to.
I token JWT sono sicuri??
L'utilizzo di JWT in modo sicuro va oltre la verifica delle loro firme. Oltre alla firma, il JWT può contenere alcune altre proprietà relative alla sicurezza. Queste proprietà si presentano sotto forma di rivendicazioni riservate che possono essere incluse nel corpo del JWT. La richiesta di sicurezza più cruciale è la richiesta "exp".
JWT è uguale a OAuth??
JWT e OAuth2 sono completamente diversi e hanno scopi diversi, ma sono compatibili e possono essere usati insieme. Il protocollo OAuth2 non specifica il formato dei token, quindi i JWT possono essere incorporati nell'utilizzo di OAuth2.
