• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

Przechowywanie JWT - klient i serwer.

VMware Cloud PRO - przenieś swoją infrastrukturę IT do chmury
+3 głosów
1,013 wizyt
pytanie zadane 16 marca 2022 w JavaScript przez rszczepanski02 Obywatel (1,180 p.)
Cześć. Wiem, że już wiele materiałów na ten temat istnieje w sieci, ale chciałbym też poznać waszą opinię na temat różnych form przechowywania tokenów.

1. LocalStorage vs Cookies, w moim przypadku przechowywanie tokena w ciasteczkach jest problematyczne ze względu, że serwer deweloperski stawiam na heroku, gdzie jak wiadomo cross-domain nie idzie w parzę z ciasteczkami.

2. Jak prawidłowo przechowywać refresh token na backend?
- Cache, redis, in memory database czy przypisać zwyczajnie do użytkownika w bazie danych. Czy warto szyfrować refresh token trzymając go na backend.

 

Z góry bardzo dziękuję za wypowiedzenie się na te tematy!
Pozdrawiam,

1 odpowiedź

+1 głos
odpowiedź 16 marca 2022 przez Wiciorny Ekspert (281,350 p.)
wybrane 19 marca 2022 przez rszczepanski02
 
Najlepsza

1. Jest to niebezpieczne jeśli chodzi o LocalStoradge bo jest dostępny za pośrednictwem JavaScript w tej samej domenie. Oznacza to, że każdy skrypt JavaScript działający w Twojej witrynie będzie miał dostęp do pamięci internetowej, przez co może być narażony na ataki XSS (cross-site scripting) 

Aby zapobiec XSS, powszechną reakcją jest uniknięcie i zakodowanie wszystkich niezaufanych danych.


2. Po to się stosuje JWT - i tokeny, aby nie trzymać ich jak ciasteczek zależnych od serwera- bazy.
Token to coś jak naszyjnik weryfikacyjny dla 'usera'
 JWT zapewnia tę zaletę, że nie trzeba za każdym razem sprawdzać tokenu w bazie danych, ponieważ wystarczy użyć kryptografii, aby sprawdzić, czy token jest legalny. Jeśli musisz wyszukać token w bazie danych, równie dobrze możesz po prostu użyć nieprzezroczystego tokenu, który nie zawiera ze sobą informacji i pozwolić serwerowi i bazie danych na dostarczenie informacji

Jeśli chcesz, możesz używać tokena JWT z OAuth2 bez przechowywania tokenów w bazie danych.JWT mają konfigurowalny czas wygaśnięcia, który można ustawić (po upływie którego są one nieprawidłowe).
 Tokeny (bez względu na to, czy JWT, czy nie) powinny być zwykle krótkotrwałe ze uwagi na bezpieczeństwo.

2
komentarz 16 marca 2022 przez rafal.budzis Szeryf (85,700 p.)
Nie widzę nic złego w trzymaniu JWT w ciasteczku. Ciasteczka są bezpieczniejsze bo mogą nie być dostępne z poziomu JSa. Jedyny problem z ciasteczkami to fakt że mają mocno ograniczony rozmiar i JWT często się w nich po prostu nie mieści.
1
komentarz 16 marca 2022 przez Wiciorny Ekspert (281,350 p.)
ja mówie żeby nie trzymać ich "jak ciasteczek" w oparciu o taki mechanizm- no ale wtedy token mija się z celem :) bo generalnie najzwyczajniej jak ktoś ma ciacho to mu token nie potrzebny, bo mechanizm sesji funkcjonuje  chyba że ma feralne api
Na pewno to by trzeba zabezpieczyć z ciastkiem na bazie protekcji przed CSRF
komentarz 17 marca 2022 przez icytower Bywalec (2,170 p.)
https://youtu.be/7_d3lGptHGY

tu jest swietny material o jwt i bezpieczenstwie. mega polecam.

Podobne pytania

0 głosów
1 odpowiedź 254 wizyt
0 głosów
2 odpowiedzi 859 wizyt
pytanie zadane 8 grudnia 2018 w JavaScript przez ILikeJava Obywatel (1,230 p.)
0 głosów
1 odpowiedź 296 wizyt

93,444 zapytań

142,436 odpowiedzi

322,695 komentarzy

62,805 pasjonatów

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto polecana książka warta uwagi.
Pełną listę książek znajdziesz tutaj

...