cookies - 在 cookie 中存储不记名 token 的安全性

Question

我的 SPA 使用 React 作为前端，使用 Laravel API 作为后端。

当用户登录(通过 axios 和 api)时，api 返回一个访问(不记名 token )作为响应。我使用 react-cookie 框架将访问 token 作为 cookie 存储在浏览器中。此 cookie 将被读取并用于任何 future 的请求。

这是正确的做法吗？
cookie 数据不只是浏览器中任何攻击者都可以轻松获取的东西吗？因为它只是一个文件在某处的计算机。

是什么阻止攻击者获取该 cookie、冒充该用户并开始执行需要身份验证的操作？

token 的生命周期可以说是 1 年。它只会在用户每次登录时刷新。我知道如果我将生命周期设置得更短，它会更安全。但是，这是否意味着用户必须不断登录？

- - -更新 - - -

我不确定提供的任何解决方案是否回答了我的问题。 SPA 应用程序是基于前端的，请求可以来自任何地方，例如 Postman、移动应用程序或任何希望与我支持的服务器通信的第三方设备。所以这些设备需要一种方法来在本地存储一些访问 token ，以用于任何 future 的请求。

我知道这可能发生的唯一方法是让我的服务器向请求者发送一些身份验证 token 并将其存储在某个地方以供下一个请求使用。

在这种情况下，我不确定 CSRF token 或任何其他方式是否有助于我的关注？

就像facebook一样，如果我清除缓存，我将不得不重新登录。这意味着 facebook 正在我的位置计算机上存储一些东西，以便我下次可以自动进行身份验证

Answer 1

我只想添加一些在 cookie 中存储 token 的缺点，您也应该注意:

cookie 的最大大小仅为 4kb，因此可能会出现问题，如果
您有许多附加到 token 的声明。

Cookie 可能容易受到跨站点请求伪造(CSRF 或
XSRF) 攻击。使用 Web 应用程序框架的 CSRF 保护使得
cookie 是存储 JWT 的安全选项。 CSRF 也可以部分
通过检查 HTTP Referer 和 Origin header 来阻止。你可以
还设置 SameSite=strict cookie 标志以防止 CSRF 攻击。

如果应用程序需要，可能难以实现
跨域访问。 Cookie 具有附加属性(域/路径)
可以修改以允许您指定 cookie 的位置
允许发送。

- - - - 更新 - - -

您还可以使用 cookie 来存储身份验证 token ，即使它更好(至少在我看来比使用本地存储或某些 session 中间件(如 Redis)更好)。如果我们将 httpOnly 和安全标志放在一边，还有一些不同的方法可以控制 cookie 的生命周期:

浏览器关闭后可以销毁cookies(session
cookies )。

实现服务器端检查(通常由
正在使用的 Web 框架)，您可以实现过期或滑动窗口过期。

Cookie 可以是持久的(不会被销毁
浏览器关闭后)并过期。