Jhipster 隐藏不记名令牌
Jhipster hide bearer token
我正在使用带有 jwt 令牌的 jhipster 进行身份验证。但是登录后,jhipster 将令牌存储在浏览器的本地存储中。如果我将它复制并粘贴到另一个浏览器和 F5,它会自动登录到那里。所以如果黑客有令牌,他们可以不用密码仪式登录?
对,这就是为什么令牌的生命周期应该很短,应该经常刷新的原因(但是 JHipster JWT 没有刷新,JHipster OAuth2 有)。
作为替代方案,您可以在 cookie 中传递令牌(secure 和 httpOnly),这样 JS 代码就无法读取它,但是如果您的 cookie 被盗,您将处于相同状态,除非您合并使用 CSRF。
对于 JHipster 应用程序:
- 对于整体而言,基于会话的身份验证比 JWT 更安全。
- 对于微服务,OAuth2 是比 JWT 更好的选择。
您还可以将 IP 地址作为声明添加到您的令牌中,并验证它是否与服务器中的请求相匹配。
我正在使用带有 jwt 令牌的 jhipster 进行身份验证。但是登录后,jhipster 将令牌存储在浏览器的本地存储中。如果我将它复制并粘贴到另一个浏览器和 F5,它会自动登录到那里。所以如果黑客有令牌,他们可以不用密码仪式登录?
对,这就是为什么令牌的生命周期应该很短,应该经常刷新的原因(但是 JHipster JWT 没有刷新,JHipster OAuth2 有)。
作为替代方案,您可以在 cookie 中传递令牌(secure 和 httpOnly),这样 JS 代码就无法读取它,但是如果您的 cookie 被盗,您将处于相同状态,除非您合并使用 CSRF。
对于 JHipster 应用程序:
- 对于整体而言,基于会话的身份验证比 JWT 更安全。
- 对于微服务,OAuth2 是比 JWT 更好的选择。
您还可以将 IP 地址作为声明添加到您的令牌中,并验证它是否与服务器中的请求相匹配。