个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
28
4
我创建了一个应用程序,它仅使用服务器根据正确的登录凭据发送的 JWT,并对后端 Express.js 服务器上的任何 /api 路由进行授权。
另一方面,AngularJS 获取此 token ,将其存储在 session 存储中,并每次都使用身份验证拦截器将 token 发送回服务器。
我最近才了解到这种做法有多么危险。
我了解在这种情况下代币来回转移的方法。但是,是否有人能从高层次上解释一下当您想要将该 JWT 存储在客户端 Javascript 无法读取的安全、仅限 HTTP 的 cookie 中时所采用的方法?
例如:凭证成功后
我试图在这里获得一个关于它如何工作的心理模型。如果我的理解是正确的,那么这样做将不再需要身份验证拦截器,因为在正确的凭据登录后,服务器将完成 cookie 内 token 的所有传输。
最佳答案
处理 cookie 有其微妙之处,但从高层次来看,cookie 是您的网络服务器可以设置的一段数据,然后由用户的网络浏览器存储并在任何情况下发送回服务器。只要 cookie 有效并且适用于正在发出的请求,浏览器将来就会向同一服务器发出请求。
(这就是为什么您不再需要使用 Angular 拦截器,因为浏览器本身会确保发送 cookie)
除了一些特殊标志选项(例如仅 HTTP)之外,您还可以在更高级别将 cookie 设置为与给定域和路径关联。例如,您的服务器可以设置一个 cookie,使其稍后由浏览器发送到 /api 路径下发出的请求。
综上所述,cookie是HTTP的一种状态管理机制,参见相关RFC 2617了解更多详情。
相比之下,JWT 只是一些具有众所周知的表示形式并遵循一些约定的数据。更具体地说,JWT 由 header 、有效负载和签名部分组成,通常建议在大多数 JWT 用例中保持较小的有效负载大小。请参阅Get Started with JSON Web Tokens了解更多详情。
如果您阅读上一篇文章,您会注意到 JWT 的最终表示形式是三个以点分隔的 Base64url 编码字符串。这是特别令人感兴趣的,因为它意味着 JWT 非常适合在 HTTP 中使用,包括作为 cookie 的值。
需要记住的一件事是,根据规范,您只能保证浏览器将支持每个 cookie 最多 4096 字节的 cookie(通过 cookie 名称、值和属性的长度总和来衡量) 。除非您在 token 中存储大量数据,否则您不应该遇到问题,但这始终是需要考虑的事情。是的,您还可以将 JWT token 分解为多个 cookie,但事情开始变得更加复杂。
此外,cookie 有其过期概念,因此请记住这一点,因为 JWT 本身在身份验证范围内使用时也会有自己的过期概念。
最后,我只想解决您对将 JWT 存储在 localStorage/sessionStorage 中的一些担忧。你是对的,如果你这样做,你必须理解它的含义,例如,与存储关联的域内的任何 JavaScript 代码都将能够读取 token 。然而,仅 HTTP 的 cookie 也不是 Elixir 。我会阅读以下文章:Cookies vs Tokens: The Definitive Guide .
它重点关注传统 session 标识符 cookie 与基于 token 的 (JWT) 身份验证系统之间的差异,名为 在哪里存储 token ? 的部分值得一读,因为它解决了安全相关方面的问题存储。
给 TL:DR 人员的总结:
Two of the most common attack vectors facing websites are Cross SiteScripting (XSS) and Cross Site Request Forgery (XSRF or CSRF). Cross Site Scripting) attacks occur when an outside entity is able to execute code within your website or app. (...)
If an attacker can execute code on your domain, your JWT tokens (in local storage) are vulnerable. (...)
Cross Site Request Forgery attacks are not an issue if you are using JWT with local storage. On the other hand, if your use case requires you to store the JWT in a cookie, you will need to protect against XSRF.
(强调的是我的)
关于angularjs - 如何将 JWT token 存储在仅 HTTP 的 cookie 中?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/39810741/
28
4
0
是否有在非 AngularJS 页面内初始化 AngularJS 应用程序的最佳实践方法?我正在向现有网页添加新功能,需要传入一个参数。具体来说,有一组选项卡,一个新选项卡将启动一个 Angular
找不到这两者之间的区别。 保留其中任何一个来引导我的 Angular 应用程序是否有意义? angular.bootstrap(document,['myApp']); 或者 angularAMD.b
我试图理解 Packpub 的书附带的示例 AngularJS 应用程序。 app.js文件在 client/src/app 下定义文件夹,它的模块定义看起来像 angular.module('app
Angularjs 具有用于表单验证和显示错误消息的强大基础设施。但是,我处于必须在特定场景中向用户显示警告消息的情况。这是我的简单表格的图表 该表单在两个字段上都应用了必需和模式验证。除了此验证之外
我在重试功能正常工作时遇到了一些麻烦,希望能获得一些帮助。我有一个要调用的$ resource,直到出现成功情况或超过最大重试次数为止。 我似乎遇到的问题是,在我的重试函数中,我正在调用另一个prom
我目前正在开发一个 AngularJS 应用程序,我遇到了以下障碍。 当用户提交时,我们有一个 login 页面,我们调用一个 web api 并对用户进行身份验证,我们目前正在使用 claims 身
当范围更新时,指令的属性不会改变,它们仍然保持初始值。我在这里缺少什么? HTML works great works: {{foo}} Javascript (基于首页上的 A
我正在使用 Zurb 的 Foundation 框架修改应用程序以实现响应性和 AngularJS。存在数据显示在带有 ... 的表中的错误有 是根据 Foundation 的响应规则隐藏/显示的。不
在过去的三天里,我一直在搜寻互联网,试图弄清楚当angular注意到div的宽度发生变化时如何使指令运行。 我不断看到相同的示例,说明如何实现此目标,但是它们对我不起作用,我也不知道为什么。 我回到一
我正在使用以下代码尝试汇总 在 Angular ,这在整个作品中,但是小于 0.5 的数字四舍五入为 0。我想 向上取整 每个数字到下一个整数。例如 0.02 应四舍五入为 1 {{((data.Vi
我目前正在尝试以一种能够适当扩展到企业级别的方式来组织我的 Angular 应用程序。但是我发现似乎过度依赖框架内的命名约定,并且试图避免命名冲突是一个真正的问题。 例如,当定义任何 constant
我正在阅读 AngularJS 基础知识,并且喜欢在我的页面中使用它的绑定(bind)功能。所以我可以定义可以在 View 中显示的数据,可以对数据进行更改,以便在 View 中更改它而无需担心。 在
在父 Controller 范围内,我定义了 selectedItem设置为“x”。然后在子范围内,我定义了selectedItem使用 ngModel:
关闭。这个问题需要更多 focused .它目前不接受答案。 想改进这个问题?更新问题,使其仅关注一个问题 editing this post . 5年前关闭。 Improve this questi
如果2个条件为真,我试图将一个特定的类应用于li元素,因此我编写了以下代码,但似乎无法正常工作 ng-class="{current:isActive('/'), loginStatus: false
请看看朋克。 http://plnkr.co/edit/DuTFYbLVbPkCIvRznYjG?p=preview ng-pattern regEx不适用于输入文本字段。 仅在需要验证的情况下才能正
我正在为iOS + Android构建AngularJS(1.x)和Ionic/Cordova移动应用程序。我想在登录页面上添加/创建“深层链接”,以便在我向新用户发送“确认您的电子邮件”电子邮件时,
angularjs 中服务(或工厂)的生命周期是什么,何时重新初始化? 最佳答案 当 Angular 启动时,它会将服务的构造函数附加到关联的模块上。这种情况发生一次。 angular .modu
我对 Angular 很陌生,所以希望我知道的足够多,可以问什么似乎是合理的设计问题。 我正在通过 Angular 绘制一些数据,并且正在使用 $resource。在将 Angular 引入项目之前,
我需要在我的 angular-breeze 应用程序中使用国家/地区下拉菜单,我尝试了以下操作: https://github.com/banafederico/angularjs-country-s
我是一名优秀的程序员,十分优秀!