asp.net-mvc – 将JWT令牌存储在cookie中

前端之家收集整理的这篇文章主要介绍了asp.net-mvc – 将JWT令牌存储在cookie中前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
这是我的设置:

> 1个认证服务器,在成功时发出JWT令牌
认证.
>多个API资源服务器,提供信息(当用户
经过验证).

现在我想构建我的ASP.NET MVC前端.是否可以获取我在认证后收到的令牌,并将其放入cookie中,以便我可以通过我需要进行的每个安全呼叫来访问它?我使用RestSharp DLL来进行http调用.如果它有安全漏洞,那么我应该在哪里存储我的令牌?

我会将此代码用于cookie:

System.Web.HttpContext.Current.Response.Cookies.Add(new System.Web.HttpCookie("Token")
        {
            Value = token.access_token,HttpOnly = true
        });

解决方法

你走在正确的道路上! cookie应始终具有HttpOnly标志,设置此标志将阻止JavaScript环境(在Web浏览器中)访问cookie.这是防止浏览器中XSS攻击的最佳方法.

您还应该在生产中使用安全标志,以确保cookie仅通过HTTPS发送.

您还需要防止CSRF攻击.这通常通过在另一个cookie中设置一个值来完成,该值必须在每个请求中提供.

我在Stormpath工作,我们写了很多关于前端安全的信息.这两个帖子可能有助于理解所有方面:

Token Based Authentication for Single Page Apps (SPAs)

https://stormpath.com/blog/build-secure-user-interfaces-using-jwts/

猜你在找的asp.Net相关文章