如何安全储存JWT之Cookie与Web Storage

最新推荐文章于 2024-07-10 06:15:00 发布
最新推荐文章于 2024-07-10 06:15:00 发布
阅读量598 收藏 1
点赞数 1
文章标签: 网络安全 安全 系统安全 web安全 安全架构 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WLsweety/article/details/128990922
版权
本文探讨了JWT存储在Cookie和Local Storage的安全性,指出HTTP Only的Cookie并非绝对安全,XSS漏洞仍然是主要风险。推荐在确保足够的XSS防护基础上,将JWT存储在Local Storage中,以利用其天然的CSRF免疫和更大存储空间优势。
摘要由CSDN通过智能技术生成

一句话结论

确保你的代码以及第三方库的代码有足够的XSS检查,在此之上将jwt存放在local storage中。### 若有理解不到位之处,请在评论区留言,跪谢!

背景

每一个在自己项目中使用JWT的前端开发人员都会遇到同一个问题,我应该在哪里储存我的jwt token?

如果你搜索相关的文章你会发现主流意见基本上分为了两派:

1.Local Storage (Web Storage中的一种)

2.Cookie

支持Cookie的开发人员会强烈建议不要将敏感信息(例如JWT)储存在Local Storage中,因为它对于XSS毫无抵抗力,并且批判培训班或者大部分开发人员总是一股脑的选择Local Storage,而忽视了安全这个最大的问题。

支持Local Storage的一派认为,撇开Local Storage的各种优点不谈,如果做好适当的XSS防护,收益是远大于风险的。

两种论点总是能激起一番激烈的讨论,我写此文的目的就是希望对两种不同的观点进行比较,给出我自己的结论,并且提出更加细化的方案。

以下讨论会涉及基本的XSS, CSRF,Cookie 以及 Web Storage 的基本知识,如果你感到陌生,在文章的末尾有简单的介绍。

0. 先纠正一个错误观念

Cookie比Local Storage更安全

这种观点是不全面的,Local storage 有着与 Cookie一样的安全机制,只有加了httpOnly 和 secure 的Cookie才更加安全,对于普通的Cookie,它的安全等级与Local Storage并无差别。

1. JWT与Local Storage

将JWT储存在Local Storage中然后通过请求中的Authorization Header发送,注意Header不是由浏览器自动添加。

优点

  • 在笔者看来在安全方面最大的收益便是天然的CSRF免疫,因为不会被浏览器自动发送。 如果你使用了这种方法,后端并不需要花费时间精力来做CSRF相关的防护。

  • 如果你JWT较大或者你并不是Cookie的唯一使用者,那么你会觉得放在Local Storage中更加方便,毕竟Cookie的4k大小很容易用完。

  • JS可以直接读取JWT,方便使用。

缺点

  • 从安全的角度来看,如果你的网站有着XSS漏洞那么黑客可以非常轻松(只需要一行代码)的读取你的Loca

最低0.47元/天 解锁文章
WLsweety
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
网络安全-CookieJWT
Saki_Python的博客
02-19 959
✊不积跬步,无以至千里;不积小流,无以成江海和都是的一部分,因此属于前端开发需要了解的基础知识。和都是用于在客户端存储数据并在 HTTP 请求中发送回服务器的技术。它们都用于和,但也有一些关键的区别。
浅谈安全的那点事儿
m0_59347746的博客
07-19 745
举个例子假如我们部署了两份相同的服务A,B,用户第一次登陆的时候,Nginx通过负载均衡机制将用户请求转发到A服务器,此时用户的Session信息保存在A服务器。②一般的网站都会有保持登录,也就是说下次你再访问网站的时候就不需要重新登录了,这是因为用户登录的时候我们可以存放了一个Token在Cookie中,下次登录的时候只需要根据Token值来查找用户即可(为了安全考虑,重新登录一般要将Token重写);这是一种通过角色关联权限,角色同时又关联用户的授权的方式。......
jwt应该保存在哪里
java技术博客
07-10 1944
参考网址:看这篇文章前 , 我也在考虑这个问题 , gitee 上很多的开源项目, 关于 token 令牌的存放位置 , 每个项目都是有点差异 , 有的存放在 cookie , 有的存放在 LocalStorage , 有的存放在 SessionStorage , 经过本文的阅读 , token 存放在 cookie 是最好的一个方案服务端可以将JWT令牌通过Cookie发给浏览器,浏览器在请求服务端接口时会自动在Cookie头中带上JWT令牌,服务端对Cookie头中的JWT令牌进行检验即可实现身份验
Web前端】JWT(JSON Web Tokens)概述
最新发布
wosixiaokeai的博客
07-10 605
JWT(JSON Web Tokens)是一种用于双方之间安全传输信息的简洁的、URL安全的令牌标准。它基于JSON对象,并通过数字签名确保其完整性和真实性。JWT因其小巧、自包含以及易于在客户端和服务器之间传输的特性而被广泛使用于身份验证和信息交换的场景中。
Spring Security如何使用JWT作为访问数据身份认证Token,并将身份数据存入Redis
weixin_59216829的博客
04-13 2026
本文将着重介绍在Spring Security中如何使用JWT作为数据访问的身份认证令牌,使用JWT这个将代替原来的cookie身份认证。
JWT放在cookie里,怎么实现的避免CSRF?
大英雄不该去雪山打滚
10-18 820
突然想到这个问题,拜读了这篇文章【链接】理解了一点,直接搜索出来的2016,2017年的文章,讲基本都是CSRF Token,都是Token,它和JsonWebToken是不一样的,二者可以说是并列关系,都是避免CSRF的方案。 要理解为什么JWT放在Cookie里却能实现避免CSRF要注意到:CSRF的原理是危险网站B盗取登陆成功的业务网站A的Cookie,用户点击危险网站B的带有请求A网站URL的的按钮,关键在于网站A服务端鉴权是使用的Cookie,token存在Cookie里只是暂存,最终的唯一去向.
.net Core .net6 CookieJwt认证 同时生效
曲滨_銘龘鶽
08-23 980
CookieJwt 认证同时生效,可以适应多种认证情况
JWT介绍和实践,带demo
03-03
2. 服务端将JWT返回给客户端,客户端将其存储在本地(通常使用Local StorageCookie)。 3. 用户访问受保护的资源时,将JWT放在Authorization头部(Bearer模式)发送给服务端。 4. 服务端收到JWT后,验证签名,确认...
angular-8-jwt-authentication-example:Angular 8 JWT认证示例
01-30
2. **存储令牌**:客户端通常将JWT存储在本地存储(Local Storage)或Cookie中,而不是在会话存储(Session Storage)中,因为JWT需要在跨域请求中携带。 3. **鉴权过程**:在每次对受保护资源的请求中,客户端会在...
关于二级域名下使用一级域名下的COOKIE的问题
12-08
此外,现代Web应用中,很多服务倾向于使用更安全的解决方案,如使用JSON Web Tokens (JWT) 或者Session Storage、Local Storage等HTML5特性,它们可以提供更细粒度的控制,同时减少了跨域安全风险。但对于需要在一级...
cookie学习练习记录
11-22
在“CookieWeb”这个项目中,我们可以预见到一些具体的实践代码,如JavaScript的document.cookie接口的使用,用于设置、获取和删除Cookie。同时,可能还涉及到HTTP响应头的Set-Cookie字段,服务器如何将Cookie发送给...
Laravel开发-laravel-jwt
08-28
- 令牌存储:不要将JWT存储在浏览器的Cookie中,而是存储在本地存储或Session Storage中。 - 定期刷新令牌:即使JWT被盗,定期刷新也能限制其有效时间,降低风险。 - 验证JWT签名:在接受JWT时,应验证其签名,确保...
spring-security-jwt
03-14
7. 客户端处理:客户端收到 JWT 后,将其存储(例如在 Cookie 或 Local Storage 中),并在每个受保护的 API 请求头中附带 JWT。 8. 拦截器:在服务器端,创建一个 HTTP 拦截器,检查请求头中的 JWT,如果存在且...
行业分类-设备装置-对cookie信息进行处理的方法和服务器.zip
08-24
8. **Cookie的替代方案**:考虑到隐私和性能问题,现代Web开发中开始倾向于使用Local Storage、Session Storage或Token(如JWT)来代替Cookie存储用户信息,但它们各自有其优缺点和适用场景。 9. **无状态与有状态...
身份验证
02-18
3. 安全存储:客户端应将JWT存储在安全的地方,如浏览器的Secure Cookie或Local Storage。 六、总结 身份验证是网络安全的基础,Java提供了丰富的工具和框架来实现这一功能。在"authjwt-master"项目中,我们可以...
UserSmartWin
04-08
2. **存储JWT**:客户端(如浏览器)将JWT存储在本地存储(Local Storage)或Cookie中。 3. **附带JWT的请求**:客户端在后续的HTTP请求头中添加JWT,以便服务器验证用户身份。 4. **服务器验证**:服务器接收到请求...
jwt+cookie 实现sso
wangjianwangzhefeng的博客
04-22 1108
看图理解JWT如何用于单点登录 阅读目录 前言 方案介绍 方案总结 本文小结 单点登录是我比较喜欢的一个技术解决方案,一方面他能够提高产品使用的便利性,另一方面他分离了各个应用都需要的登录服务,对性能以及工作量都有好处。自从上次研究过JWT如何应用于会话管理,加之以前的项目中也一直在使用CAS这个比较流行的单点登录框架,所以就一直在琢磨如何能够把JWT跟单点登录结合起来一起使用,尽量能把两种技术的...
登录认证: 为什么要使用JWT去替代cookie和session技术
pingzhuyan的博客
06-29 1659
另外,Cookie的过期时间通常是长期的,这意味着用户的信息可能会一直被存储在本地,从而被滥用。扩展性问题:Cookie和Session是基于HTTP协议的,而随着Web技术的发展,HTTP协议已经无法满足一些需要实现的业务需求,如WebSockets等。跨域问题:如果用户在多个域名下使用同一个网站,Cookie在不同域名之间传递会遇到阻碍,导致用户在使用该网站时出现问题。三部分 JWT通常由三部分构成,分别为Header(头部),Payload(负载),Signature(签名)
LocalStorageCookies:关于在前端安全存储JWT令牌的所有知识
weixin_26737625的博客
08-23 1771
We went over how OAuth 2.0 works in the last post which covered how to generate access tokens and refresh tokens. What’s next is how do you store them securely in your front-end? 我们在上一篇文章中介绍了OAuth 2.0...
JWT详解:与Cookie, Session和Token的区别及其安全挑战
笔记的最后,作者对Cookie、Session和JWT网络安全和攻击防御中的关系进行了总结,并对比了它们在不同应用场景中的优缺点,以及从CookieJWT的发展趋势和区别。整个系列笔记旨在帮助读者全面理解这四种机制,并在...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值