Tôi có thể lưu trữ bí mật JWT ở đâu?

2024 Tác giả: Lynn Donovan | [email protected]. Sửa đổi lần cuối: 2023-12-15 23:55

Cửa hàng JWT an toàn

MỘT JWT cần phải được cất giữ ở một nơi an toàn bên trong trình duyệt của người dùng. nếu bạn cửa hàng nó bên trong localStorage, nó có thể truy cập được bằng bất kỳ tập lệnh nào bên trong trang của bạn (điều này thật tệ, vì một cuộc tấn công XSS có thể cho phép kẻ tấn công bên ngoài có quyền truy cập vào mã thông báo).

Một câu hỏi nữa là, tôi nên lưu trữ các khóa API ở đâu?

Thay vì nhúng Khóa API trong các ứng dụng của bạn, cửa hàng chúng trong các biến môi trường hoặc trong các tệp bên ngoài cây nguồn của ứng dụng của bạn. Đừng lưu trữ khóa API trong các tệp bên trong cây nguồn của ứng dụng của bạn.

Ngoài ra, tôi có nên lưu trữ JWT trong cơ sở dữ liệu không? Bạn có thể lưu trữ NS JWT bên trong db nhưng bạn mất một số lợi ích của một JWT . Các JWT mang lại cho bạn lợi thế là không cần đến kiểm tra mã thông báo trong một db mọi lúc vì bạn chỉ có thể sử dụng mật mã đến xác minh rằng mã thông báo là hợp pháp. Bạn vẫn có thể sử dụng JWT với OAuth2 mà không có cất giữ mã thông báo trong db nếu bạn muốn.

Sau đây, bạn lưu trữ mã phản ứng JWT ở đâu?

Lưu trữ mã thông báo JWT Chúng ta có thể cửa hàng nó dưới dạng cookie phía máy khách hoặc trong localStorage hoặc sessionStorage. Có những ưu và nhược điểm trong mỗi tùy chọn nhưng đối với ứng dụng này, chúng tôi sẽ cửa hàng nó trong sessionStorage.

Mã thông báo truy cập được lưu trữ ở đâu?

3 Câu trả lời. Máy khách, theo thuật ngữ OAuth, là thành phần thực hiện yêu cầu đến máy chủ tài nguyên, trong trường hợp của bạn, máy khách là máy chủ của ứng dụng web (KHÔNG phải trình duyệt). Do đó, truy cập thẻ chỉ nên được lưu trữ trên máy chủ ứng dụng web.