• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

Przechowywanie JWT - klient i serwer.

Object Storage Arubacloud
+3 głosów
585 wizyt
pytanie zadane 16 marca 2022 w JavaScript przez rszczepanski02 Obywatel (1,180 p.)
Cześć. Wiem, że już wiele materiałów na ten temat istnieje w sieci, ale chciałbym też poznać waszą opinię na temat różnych form przechowywania tokenów.

1. LocalStorage vs Cookies, w moim przypadku przechowywanie tokena w ciasteczkach jest problematyczne ze względu, że serwer deweloperski stawiam na heroku, gdzie jak wiadomo cross-domain nie idzie w parzę z ciasteczkami.

2. Jak prawidłowo przechowywać refresh token na backend?
- Cache, redis, in memory database czy przypisać zwyczajnie do użytkownika w bazie danych. Czy warto szyfrować refresh token trzymając go na backend.

 

Z góry bardzo dziękuję za wypowiedzenie się na te tematy!
Pozdrawiam,

1 odpowiedź

+1 głos
odpowiedź 16 marca 2022 przez Wiciorny Ekspert (269,590 p.)
wybrane 19 marca 2022 przez rszczepanski02
 
Najlepsza

1. Jest to niebezpieczne jeśli chodzi o LocalStoradge bo jest dostępny za pośrednictwem JavaScript w tej samej domenie. Oznacza to, że każdy skrypt JavaScript działający w Twojej witrynie będzie miał dostęp do pamięci internetowej, przez co może być narażony na ataki XSS (cross-site scripting) 

Aby zapobiec XSS, powszechną reakcją jest uniknięcie i zakodowanie wszystkich niezaufanych danych.


2. Po to się stosuje JWT - i tokeny, aby nie trzymać ich jak ciasteczek zależnych od serwera- bazy.
Token to coś jak naszyjnik weryfikacyjny dla 'usera'
 JWT zapewnia tę zaletę, że nie trzeba za każdym razem sprawdzać tokenu w bazie danych, ponieważ wystarczy użyć kryptografii, aby sprawdzić, czy token jest legalny. Jeśli musisz wyszukać token w bazie danych, równie dobrze możesz po prostu użyć nieprzezroczystego tokenu, który nie zawiera ze sobą informacji i pozwolić serwerowi i bazie danych na dostarczenie informacji

Jeśli chcesz, możesz używać tokena JWT z OAuth2 bez przechowywania tokenów w bazie danych.JWT mają konfigurowalny czas wygaśnięcia, który można ustawić (po upływie którego są one nieprawidłowe).
 Tokeny (bez względu na to, czy JWT, czy nie) powinny być zwykle krótkotrwałe ze uwagi na bezpieczeństwo.

2
komentarz 16 marca 2022 przez rafal.budzis Szeryf (85,260 p.)
Nie widzę nic złego w trzymaniu JWT w ciasteczku. Ciasteczka są bezpieczniejsze bo mogą nie być dostępne z poziomu JSa. Jedyny problem z ciasteczkami to fakt że mają mocno ograniczony rozmiar i JWT często się w nich po prostu nie mieści.
1
komentarz 16 marca 2022 przez Wiciorny Ekspert (269,590 p.)
ja mówie żeby nie trzymać ich "jak ciasteczek" w oparciu o taki mechanizm- no ale wtedy token mija się z celem :) bo generalnie najzwyczajniej jak ktoś ma ciacho to mu token nie potrzebny, bo mechanizm sesji funkcjonuje  chyba że ma feralne api
Na pewno to by trzeba zabezpieczyć z ciastkiem na bazie protekcji przed CSRF
komentarz 17 marca 2022 przez icytower Bywalec (2,110 p.)
https://youtu.be/7_d3lGptHGY

tu jest swietny material o jwt i bezpieczenstwie. mega polecam.

Podobne pytania

0 głosów
1 odpowiedź 131 wizyt
0 głosów
2 odpowiedzi 605 wizyt
pytanie zadane 8 grudnia 2018 w JavaScript przez ILikeJava Obywatel (1,230 p.)
0 głosów
1 odpowiedź 248 wizyt

92,536 zapytań

141,377 odpowiedzi

319,456 komentarzy

61,922 pasjonatów

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto polecana książka warta uwagi.
Pełną listę książek znajdziesz tutaj.

Akademia Sekuraka

Kolejna edycja największej imprezy hakerskiej w Polsce, czyli Mega Sekurak Hacking Party odbędzie się już 20 maja 2024r. Z tej okazji mamy dla Was kod: pasjamshp - jeżeli wpiszecie go w koszyku, to wówczas otrzymacie 40% zniżki na bilet w wersji standard!

Więcej informacji na temat imprezy znajdziecie tutaj. Dziękujemy ekipie Sekuraka za taką fajną zniżkę dla wszystkich Pasjonatów!

Akademia Sekuraka

Niedawno wystartował dodruk tej świetnej, rozchwytywanej książki (około 940 stron). Mamy dla Was kod: pasja (wpiszcie go w koszyku), dzięki któremu otrzymujemy 10% zniżki - dziękujemy zaprzyjaźnionej ekipie Sekuraka za taki bonus dla Pasjonatów! Książka to pierwszy tom z serii o ITsec, który łagodnie wprowadzi w świat bezpieczeństwa IT każdą osobę - warto, polecamy!

...