angularjs – NodeJS:在客户端存储JWT的位置? sessionStorage,localStorage还是cookies?

前端之家收集整理的这篇文章主要介绍了angularjs – NodeJS:在客户端存储JWT的位置? sessionStorage,localStorage还是cookies?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
在使用NodeJS和(例如)AngularJS的SPA上存储 JSON Web令牌以进行身份​​验证的最佳位置是什么?

到目前为止我得到了什么:

可能的地方:

> HTML5 Web存储(localStorage / sessionStorage)
>饼干

Web存储(localStorage / sessionStorage)可通过同一域上的JavaScript访问.这意味着您站点上运行的任何JavaScript都可以访问Web存储,因此可能容易受到跨站点脚本(XSS)攻击.

localStorage具有不同的到期时间,sessionStorage只能在创建它的窗口打开时才能访问.
localStorage会一直持续到您删除它或用户删除它为止.

当与HttpOnly cookie标志一起使用时,Cookie无法通过JavaScript访问,并且不受XSS的影响.但是,cookie很容易受到跨站点请求伪造(CSRF)的攻击.

那么最安全的JWT存储方式是什么呢?

不要将Angular应用程序中的密钥保持为常量.如果要安全地验证JWT令牌,请从localStorage检索JWT,并在$http.get()调用的Authorization标头中将其发送到服务器.

密钥只能由服务器上的代码查看/访问.当服务器从Authorization标头获取JWT时,它可以检查JWT有效负载是否已被篡改.如果它已经将某种授权错误返回到$http.get()调用.

猜你在找的Angularjs相关文章