ฉันจะเก็บความลับของ JWT ได้ที่ไหน

2024 ผู้เขียน: Lynn Donovan | [email protected]. แก้ไขล่าสุด: 2023-12-15 23:54

เก็บ JWT อย่างปลอดภัย

NS JWT จะต้อง เก็บไว้ ในที่ปลอดภัยภายในเบราว์เซอร์ของผู้ใช้ ถ้าคุณ เก็บ มันอยู่ใน localStorage สามารถเข้าถึงได้โดยสคริปต์ใด ๆ ในหน้าของคุณ (ซึ่งไม่ดีเท่าที่ฟังเนื่องจากการโจมตี XSS สามารถให้ผู้โจมตีภายนอกเข้าถึงโทเค็นได้)

คำถามก็คือฉันควรเก็บคีย์ API ไว้ที่ใด

แทนที่จะฝัง.ของคุณ คีย์ API ในแอปพลิเคชันของคุณ เก็บ ในตัวแปรสภาพแวดล้อมหรือในไฟล์นอกทรีต้นทางของแอปพลิเคชันของคุณ อย่า เก็บคีย์ API ในไฟล์ภายในแผนผังต้นทางของแอปพลิเคชันของคุณ

นอกจากนี้ ฉันควรเก็บ JWT ไว้ในฐานข้อมูลหรือไม่ คุณ เก็บได้ NS JWT ใน db แต่คุณสูญเสียผลประโยชน์บางอย่างของ a JWT . NS JWT ทำให้คุณได้เปรียบที่ไม่จำเป็น ถึง ตรวจสอบโทเค็นใน a db ทุกครั้งเพราะคุณสามารถใช้การเข้ารหัสได้ ถึง ตรวจสอบว่าโทเค็นถูกต้องตามกฎหมาย ยังใช้ได้อยู่นะครับ JWT ด้วย OAuth2 โดยไม่ต้อง การจัดเก็บ โทเค็นใน db ถ้าคุณต้องการ.

ในที่นี้ คุณเก็บโทเค็น JWT ตอบสนองไว้ที่ใด

กำลังจัดเก็บโทเค็น JWT เราทำได้ เก็บ เป็นคุกกี้ฝั่งไคลเอ็นต์หรือใน localStorage หรือ sessionStorage มีข้อดีและข้อเสียในแต่ละตัวเลือก แต่สำหรับแอพนี้ เราจะ เก็บ มันใน sessionStorage

โทเค็นการเข้าถึงถูกเก็บไว้ที่ไหน?

3 คำตอบ ไคลเอ็นต์ตามคำศัพท์ OAuth เป็นส่วนประกอบที่ส่งคำขอไปยังเซิร์ฟเวอร์ทรัพยากร ในกรณีของคุณ ไคลเอ็นต์คือเซิร์ฟเวอร์ของเว็บแอปพลิเคชัน (ไม่ใช่เบราว์เซอร์) ดังนั้น โทเค็นการเข้าถึง ควรเก็บไว้ในเว็บแอปพลิเคชันเซิร์ฟเวอร์เท่านั้น