Я впервые использую JSON веб-токена (JWT). Я делаю приложение Node.js, используя фреймворк omg-Express. Я хочу использовать JWT для аутентификации. Согласно документам, я возвращаю токен JSON во внешний интерфейс.var tokenData = { username: req.body.username,};var result = { username: req.body.username, token: jwt.sign(tokenData, 'secret', { expiresIn: 60 * 60 })};res.json(result);Но я не знаю, как сохранить этот токен JSON в заголовке моего браузера, чтобы он не потерялся и снова не был отправлен на сервер вместе с заголовком.Как сохранить его в хранилище моего браузера и добавлять в заголовок запроса каждый раз, когда запрос отправляется в бэкэнд?javascript json node.js jwt Источник 21 мая 2017 в 11:224 ответая использую расширение Angular-satellizer для функции входа/регистрации, но я застрял на номере 7. Я не могу сохранить JWT до localStorage. Я проверил инструменты разработчика в chrome, но там нет токена. .controller('loginCtrl', function($scope, $state, $auth, jwtHelper, $window) { $scope.login =...Я хочу реализовать Proof of Possession с асимметричными ключевыми спецификациями . Я хотел бы сохранить RSA в безопасном месте в браузере - я смогу подписать часть запроса закрытым ключом и открытым ключом в рамках JWT проверить запрос. Я не знаю, как импортировать RSA в мой браузер - где я могу...
4Советы по безопасности:Стараюсь быть кратким:файлы cookie(http-только & безопасный флаг) уязвимы для CSRF, но не для XSS.JWT в localstorage уязвим для XSS, но не CSRFЛучшее, что вы можете сделать, - это минимизировать риск:храните JWT в файле cookie, храните csrf_token в localstorageЧтобы сделать его апатридом:Включите csrf_token в полезную нагрузку JWT и проверьте серверную сторону, если JWT csrf_token и csrf_token считаны из localstorage и указаны в заголовке.Это требует, чтобы злоумышленник получил csrf_token через XSS (например, вы используете скомпрометированную стороннюю библиотеку js на своем сайте или не применяете санитарию)А затем ему нужно запустить запрос csrf с помощью csrf_token (например, встроенный тег img src или форма на веб-странице /email)Эта комбинация делает ее намного сложнее для атакующего (но не невозможной).Он обеспечивает тот же уровень безопасности, что и обычная аутентификация на основе сеанса с помощью csrf_tokens, но не требует состояния. 07 августа 2017 в 19:19
1Когда он вернется, храните весь токен в sessionStoragesessionStorage.token = json.access_token;Чтобы получить доступ к полезной нагрузке, разделите токен jwt на его части header.payload.signature и захватите только полезную нагрузкуvar enc = json.access_token.split(".")[1];Затем проанализируйте base64var payload = JSON.parse(window.atob(enc));Затем вы можете захватить и использовать проверенные данные полезной нагрузкиpayload.sub, payload.role ...и т. д 24 мая 2017 в 18:48
0Вы можете использовать веб-хранилище HTML5 или файл cookie для хранения вашего токена JWT и считывания с него всякий раз, когда вы хотите отправить свой запрос в web api.Эта ссылка поможет вам выбрать наилучший вариант для вашего приложения.Надеюсь, это поможет!! 21 мая 2017 в 11:26
0Основываясь на ответе Криса:JWTs никогда не должен храниться в вашем localStorageНа самом деле они даже не должны храниться в ваших файлах cookie, если только вы не можете реализовать очень строгую защиту CSRFПроверьте это для мотивацииJWT как id_token-это как ваши учетные данные пользователяJWT как access_token-это как ваш токен сеансаСамый безопасный вариант-в памяти. Проверьте это для глубокого погружения 19 марта 2020 в 11:22Похожие вопросы:
Загрузка файлов в Angular и JWTTL;DR Как скачать / сохранить файл с помощью аутентификации Angular и JWT, не оставляя токен trail в браузере? Мое приложение Angular/Node защищено через HTTPS и использует JWT для аутентификации....
Где сохранить токен JWT в LaravelНу, у меня есть сценарий, в котором у меня есть rest api, построенный на laravel и управляемый JWT. Затем я использую другой маршрут, чтобы запросить api для токена. Но как только я получу токен...
Лучший способ реализовать JWT?Я создаю аутентификацию JWT, и у меня есть некоторые сомнения: чтобы повысить безопасность, может быть хорошей идеей сохранить в базе данных токен пользователя и каждый раз проверять, совпадает ли...
Как сохранить JWT в localStorageя использую расширение Angular-satellizer для функции входа/регистрации, но я застрял на номере 7. Я не могу сохранить JWT до localStorage. Я проверил инструменты разработчика в chrome, но там нет...
Как сохранить в секрете RSA-закрытый ключ в браузере-реализовать доказательство владения асимметричным ключомЯ хочу реализовать Proof of Possession с асимметричными ключевыми спецификациями . Я хотел бы сохранить RSA в безопасном месте в браузере - я смогу подписать часть запроса закрытым ключом и открытым...
Проверьте JWT в браузереЯ читал о JWT и понимаю, что он состоит из трех частей , а именно: header , payload и signature . Я сохраняю алгоритм хэширования, используемый в заголовках, основную информацию в полезной нагрузке,...
Как сохранить токен JWT в компонентах AngularУ меня есть бэкэнд DRF, работающий JWT для авторизации, у меня есть UserService на моем переднем конце angular, который обрабатывает получение токена, проверку и обновление. Мой вопрос заключается в...
Express - JWT Cookie не хранится в браузереЯ пытаюсь сохранить JWT в файлах cookie в браузере, чтобы я мог продолжать повторно использовать его для выполнения API вызовов через защищенные маршруты. Приведенный ниже код представляет собой...
Где и как сохранить токен JWT ? (наилучшая практика)Я читал, что сохранение токена JWT в localStorage-это плохая практика. https://dev.to/rdegges/please-stop-using-local-storage-1i04 я работаю с ReactJs, а на другой стороне есть API Rest с NodeJs....
Как сохранить и предоставить внешний токен JWT в Kubernetes?Привет, мир ! Моя проблема : У меня есть один кластер kubernetes со многими стручками, которые запускают одно и то же приложение symfony. В этом приложении я делаю запрос на HERE api для...
ИмяЗапомнить?Пароль
Сообщение форумаТема не указан(-а). Если вы
blacksprut пришли по правильной ссылке, пожалуйста, сообщите администрации о нерабочей ссылке.
Быстрый переход
Мой кабинетЛичные сообщенияПодпискиКто на форумеПоиск по форумуГлавная страница форумаОбщая информация Партнеры Лада Клуба ТОРГМАШ LADA LADA глазами потребителей LADA Vesta год спустяНовости Новости Лада Веста Новости автомираЛада Веста Все о новой Лада Веста Покупка LADA Vesta Лада Веста и конкуренты LADA Vesta WTCC Тест-драйв Лада Веста Отзывы владельцев Лада ВестаТехнический раздел Лада Веста Ремонт и гарантийное обслуживание Лада Веста Двигатель Лада Веста и его системы Трансмиссия LADA Vesta Ходовая и подвеска Лада Веста Электрооборудование LADA Vesta Кузов и система отопления Лада Веста Топливо и эксплуатационные жидкостиОбщий раздел Общие вопросы эксплуатации Лада Веста Доп. оборудование LADA Vesta Свободное общение Корзина БарахолкаАдминистративный раздел Работа форума ПользователямЛада Веста Клуб Важные мероприятия Клуба Крымский федеральный округ Центральный федеральный округ Северо-Западный федеральный округ Приволжский федеральный округ Южный федеральный округ Уральский федеральный округ Дальневосточный федеральный округ Сибирский федеральный округ Северо-Кавказский федеральный округ Ближнее и Дальнее зарубежьеТекущее время: 00:27. Часовой
blacksprutl пояс GMT +3.
