目前有很多文章讨论在客户端存储JWT的最佳位置。简而言之,它们都涉及以下内容:
仅限HTTP安全Cookie-无法遭受XSS攻击,但容易受到XSRF攻击
头部(保存在本地存储或DOM中)-无法受到XSRF攻击,但容易受到XSS攻击
我认为我想出了一个非常聪明的解决方案,但是,由于我对安全问题完全没有经验,所以我不确定它是否真的聪明或愚蠢。
那么,如果将JWT分割并将其一部分保存在Cookie中,另一部分保存在头部中,会变得不可破解吗?
这也应该解决“注销”问题——删除头部部分将使浏览器无法登录。
JWT需要保持完整,否则签名验证将无法工作。
防范XSRF很容易,只需另一个cookie即可。
永远不要使用本地存储来存储认证信息,它不遵循与Cookie相同的域和来源规则。在这里阅读更多信息:
https://www.owasp.org/index.php/HTML5_Security_Cheat_Sheet#Storage_APIs
免责声明:我在Stormpath工作,我们提供托管式用户管理解决方案,并花费大量时间处理安全问题。我写了两篇博客文章,讨论了JWT和前端认证:
https://stormpath.com/blog/build-secure-user-interfaces-using-jwts/
