• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

Przechowywanie JWT - klient i serwer.

VPS Starter Arubacloud
+3 głosów
550 wizyt
pytanie zadane 16 marca 2022 w JavaScript przez rszczepanski02 Obywatel (1,180 p.)
Cześć. Wiem, że już wiele materiałów na ten temat istnieje w sieci, ale chciałbym też poznać waszą opinię na temat różnych form przechowywania tokenów.

1. LocalStorage vs Cookies, w moim przypadku przechowywanie tokena w ciasteczkach jest problematyczne ze względu, że serwer deweloperski stawiam na heroku, gdzie jak wiadomo cross-domain nie idzie w parzę z ciasteczkami.

2. Jak prawidłowo przechowywać refresh token na backend?
- Cache, redis, in memory database czy przypisać zwyczajnie do użytkownika w bazie danych. Czy warto szyfrować refresh token trzymając go na backend.

 

Z góry bardzo dziękuję za wypowiedzenie się na te tematy!
Pozdrawiam,

1 odpowiedź

+1 głos
odpowiedź 16 marca 2022 przez Wiciorny Ekspert (269,120 p.)
wybrane 19 marca 2022 przez rszczepanski02
 
Najlepsza

1. Jest to niebezpieczne jeśli chodzi o LocalStoradge bo jest dostępny za pośrednictwem JavaScript w tej samej domenie. Oznacza to, że każdy skrypt JavaScript działający w Twojej witrynie będzie miał dostęp do pamięci internetowej, przez co może być narażony na ataki XSS (cross-site scripting) 

Aby zapobiec XSS, powszechną reakcją jest uniknięcie i zakodowanie wszystkich niezaufanych danych.


2. Po to się stosuje JWT - i tokeny, aby nie trzymać ich jak ciasteczek zależnych od serwera- bazy.
Token to coś jak naszyjnik weryfikacyjny dla 'usera'
 JWT zapewnia tę zaletę, że nie trzeba za każdym razem sprawdzać tokenu w bazie danych, ponieważ wystarczy użyć kryptografii, aby sprawdzić, czy token jest legalny. Jeśli musisz wyszukać token w bazie danych, równie dobrze możesz po prostu użyć nieprzezroczystego tokenu, który nie zawiera ze sobą informacji i pozwolić serwerowi i bazie danych na dostarczenie informacji

Jeśli chcesz, możesz używać tokena JWT z OAuth2 bez przechowywania tokenów w bazie danych.JWT mają konfigurowalny czas wygaśnięcia, który można ustawić (po upływie którego są one nieprawidłowe).
 Tokeny (bez względu na to, czy JWT, czy nie) powinny być zwykle krótkotrwałe ze uwagi na bezpieczeństwo.

2
komentarz 16 marca 2022 przez rafal.budzis Szeryf (85,260 p.)
Nie widzę nic złego w trzymaniu JWT w ciasteczku. Ciasteczka są bezpieczniejsze bo mogą nie być dostępne z poziomu JSa. Jedyny problem z ciasteczkami to fakt że mają mocno ograniczony rozmiar i JWT często się w nich po prostu nie mieści.
1
komentarz 16 marca 2022 przez Wiciorny Ekspert (269,120 p.)
ja mówie żeby nie trzymać ich "jak ciasteczek" w oparciu o taki mechanizm- no ale wtedy token mija się z celem :) bo generalnie najzwyczajniej jak ktoś ma ciacho to mu token nie potrzebny, bo mechanizm sesji funkcjonuje  chyba że ma feralne api
Na pewno to by trzeba zabezpieczyć z ciastkiem na bazie protekcji przed CSRF
komentarz 17 marca 2022 przez icytower Bywalec (2,110 p.)
https://youtu.be/7_d3lGptHGY

tu jest swietny material o jwt i bezpieczenstwie. mega polecam.

Podobne pytania

0 głosów
1 odpowiedź 126 wizyt
0 głosów
2 odpowiedzi 603 wizyt
pytanie zadane 8 grudnia 2018 w JavaScript przez ILikeJava Obywatel (1,230 p.)
0 głosów
1 odpowiedź 247 wizyt

92,454 zapytań

141,262 odpowiedzi

319,089 komentarzy

61,854 pasjonatów

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto polecana książka warta uwagi.
Pełną listę książek znajdziesz tutaj.

Akademia Sekuraka

Akademia Sekuraka 2024 zapewnia dostęp do minimum 15 szkoleń online z bezpieczeństwa IT oraz dostęp także do materiałów z edycji Sekurak Academy z roku 2023!

Przy zakupie możecie skorzystać z kodu: pasja-akademia - użyjcie go w koszyku, a uzyskacie rabat -30% na bilety w wersji "Standard"! Więcej informacji na temat akademii 2024 znajdziecie tutaj. Dziękujemy ekipie Sekuraka za taką fajną zniżkę dla wszystkich Pasjonatów!

Akademia Sekuraka

Niedawno wystartował dodruk tej świetnej, rozchwytywanej książki (około 940 stron). Mamy dla Was kod: pasja (wpiszcie go w koszyku), dzięki któremu otrzymujemy 10% zniżki - dziękujemy zaprzyjaźnionej ekipie Sekuraka za taki bonus dla Pasjonatów! Książka to pierwszy tom z serii o ITsec, który łagodnie wprowadzi w świat bezpieczeństwa IT każdą osobę - warto, polecamy!

...