Przechowywanie JWT - klient i serwer.

pytanie zadane 16 marca 2022 w JavaScript przez rszczepanski02 Obywatel (1,180 p.)

Cześć. Wiem, że już wiele materiałów na ten temat istnieje w sieci, ale chciałbym też poznać waszą opinię na temat różnych form przechowywania tokenów.

1. LocalStorage vs Cookies, w moim przypadku przechowywanie tokena w ciasteczkach jest problematyczne ze względu, że serwer deweloperski stawiam na heroku, gdzie jak wiadomo cross-domain nie idzie w parzę z ciasteczkami.

2. Jak prawidłowo przechowywać refresh token na backend?
- Cache, redis, in memory database czy przypisać zwyczajnie do użytkownika w bazie danych. Czy warto szyfrować refresh token trzymając go na backend.

Z góry bardzo dziękuję za wypowiedzenie się na te tematy!
Pozdrawiam,

1 odpowiedź

odpowiedź 16 marca 2022 przez Wiciorny Ekspert (281,350 p.)
wybrane 19 marca 2022 przez rszczepanski02

Najlepsza

1. Jest to niebezpieczne jeśli chodzi o LocalStoradge bo jest dostępny za pośrednictwem JavaScript w tej samej domenie. Oznacza to, że każdy skrypt JavaScript działający w Twojej witrynie będzie miał dostęp do pamięci internetowej, przez co może być narażony na ataki XSS (cross-site scripting)

Aby zapobiec XSS, powszechną reakcją jest uniknięcie i zakodowanie wszystkich niezaufanych danych.

2. Po to się stosuje JWT - i tokeny, aby nie trzymać ich jak ciasteczek zależnych od serwera- bazy.
Token to coś jak naszyjnik weryfikacyjny dla 'usera'
JWT zapewnia tę zaletę, że nie trzeba za każdym razem sprawdzać tokenu w bazie danych, ponieważ wystarczy użyć kryptografii, aby sprawdzić, czy token jest legalny. Jeśli musisz wyszukać token w bazie danych, równie dobrze możesz po prostu użyć nieprzezroczystego tokenu, który nie zawiera ze sobą informacji i pozwolić serwerowi i bazie danych na dostarczenie informacji

Jeśli chcesz, możesz używać tokena JWT z OAuth2 bez przechowywania tokenów w bazie danych.JWT mają konfigurowalny czas wygaśnięcia, który można ustawić (po upływie którego są one nieprawidłowe).
Tokeny (bez względu na to, czy JWT, czy nie) powinny być zwykle krótkotrwałe ze uwagi na bezpieczeństwo.

komentarz 16 marca 2022 przez rafal.budzis Szeryf (85,700 p.)

Nie widzę nic złego w trzymaniu JWT w ciasteczku. Ciasteczka są bezpieczniejsze bo mogą nie być dostępne z poziomu JSa. Jedyny problem z ciasteczkami to fakt że mają mocno ograniczony rozmiar i JWT często się w nich po prostu nie mieści.

komentarz 16 marca 2022 przez Wiciorny Ekspert (281,350 p.)

ja mówie żeby nie trzymać ich "jak ciasteczek" w oparciu o taki mechanizm- no ale wtedy token mija się z celem :) bo generalnie najzwyczajniej jak ktoś ma ciacho to mu token nie potrzebny, bo mechanizm sesji funkcjonuje chyba że ma feralne api
Na pewno to by trzeba zabezpieczyć z ciastkiem na bazie protekcji przed CSRF