JWT Token存储在Cookie还是Web Storage

最新推荐文章于 2024-10-07 21:26:35 发布
最新推荐文章于 2024-10-07 21:26:35 发布
阅读量1.5w 收藏 8
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hxg117/article/details/76954606
版权
JWT  是将web 应用无状态化的一种方式。

1. 首先拿到JWT Token
HTTP/1.1
POST /token
Host: galaxies.com
Content-Type: application/x-www-form-urlencoded
username=abc&password=password

服务器返回
HTTP/1.1 200 OK
{
  "access_token": "eyJhbGciOiJIUzI1NiIsI.eyJpc3MiOiJodHRwczotcGxlL.mFrs3Zo8eaSNcxiNfvRh9dqKP4F1cB",
       "expires_in":3600
 }

下次请求时,需要带上这个token,以便服务器验证。

2. 将Token存储于LocalStorage或SessionStorage

function tokenSuccess(err, response) {
    if(err){
        throw err;
    }
    $window.sessionStorage.accessToken = response.body.access_token;
}

接下来的请求需要带上Token:
HTTP/1.1
GET /stars/pollux
Host: galaxies.com
AuthorizationBearer eyJhbGciOiJIUzI1NiIsI.eyJpc3MiOiJodHRwczotcGxlL.mFrs3Zo8eaSNcxiNfvRh9dqKP4F1cB


缺点:
由于LocalStorage 和 SessionStorage 都可以被 javascript 访问,所以容易受到XSS攻击。尤其是项目中用到很多第三方的Javascript类库。
另外,需要应用程序来保证Token只在HTTPS下传输。

3. 将Token存储于Cookie
HTTP/1.1 200 OK
Set-Cookie: access_token=eyJhbGciOiJIUzI1NiIsI.eyJpc3MiOiJodHRwczotcGxlL.mFrs3Zo8eaSNcxiNfvRh9dqKP4F1cB; Secure; HttpOnly;

随后的请求需要带上Token
GET /stars/pollux
Host: galaxies.com
Cookie: access_token=eyJhbGciOiJIUzI1NiIsI.eyJpc3MiOiJodHRwczotcGxlL.mFrs3Zo8eaSNcxiNfvRh9dqKP4F1cB;

优点:
可以指定 httponly,来防止被Javascript读取,也可以指定secure,来保证token只在HTTPS下传输。
缺点:
不符合Restful 最佳实践。
容易遭受CSRF攻击 (可以在服务器端检查 Refer 和 Origin)

4. 推荐使用Cookie来存储Token
相比较而言,Web Storage比Cookie更容易受到攻击。


Andy__Han
关注
如何安全储存JWTCookieWeb Storage
WLsweety的博客
02-12 613
黑客的代码和你的代码一样被用户信任!支持Cookie的开发人员会强烈建议不要将敏感信息(例如JWT)储存在Local Storage中,因为它对于XSS毫无抵抗力,并且批判培训班或者大部分开发人员总是一股脑的选择Local Storage,而忽视了安全这个最大的问题。这种观点是不全面的,Local storage 有着与 Cookie一样的安全机制,只有加了httpOnly 和 secure 的Cookie才更加安全,对于普通的Cookie,它的安全等级与Local Storage并无差别。
JWT Token存储Cookie还是LocalStorage
cjl969911737的博客
07-28 8827
JWT 是将web 应用无状态化的一种方式。 1. 首先拿到JWT Token HTTP/1.1 POST /token Host: galaxies.com Content-Type: applic...
JwtToken
最新发布
ajsbxi的博客
10-07 366
在计算机领域,令牌是一种代表某种访问权限或身份认证信息的令牌。它可以是一串随机生成的字符或数字,用于验证用户的身份或授权用户对特定资源的访问。
16. cookie、session、tokenJWT、localStorage、sessionStorage
sunnnnh的博客
05-21 576
一、Cookie 1.1 为什么有cookie和seesion?(http请求是无状态的) 客户端请求 服务器, 属于HTTP请求。http请求是无状态的,即每次服务端接收到客户端的请求时,都是一个全新的请求,服务器并不知道客户端的历史请求记录;所以当用户从客户端请求一次登录后,登录成功,再次进行请求时,因为服务器不能识别这两次会话都是来自同一个浏览器,即服务端不知道客户端的历史请求记录;就会再次弹出登录对话框。 为了解决客户端与服务端会话同步问题。这便引出了:cookie、session,用来跟踪.
jwt应该保存在哪里
java技术博客
07-10 2161
参考网址:看这篇文章前 , 我也在考虑这个问题 , gitee 上很多的开源项目, 关于 token 令牌的存放位置 , 每个项目都是有点差异 , 有的存放在 cookie , 有的存放在 LocalStorage , 有的存放在 SessionStorage , 经过本文的阅读 , token 存放在 cookie 是最好的一个方案服务端可以将JWT令牌通过Cookie发给浏览器,浏览器在请求服务端接口时会自动在Cookie头中带上JWT令牌,服务端对Cookie头中的JWT令牌进行检验即可实现身份验
jwttoken要存mysql吗_JWT token信息保存
weixin_36111764的博客
01-25 1367
1、先来讲述一下token保存在浏览器端的几种不同的方式(1)可以选择在cookie中进行保存,在服务端的代码为String token = Jwt.createToken(payload);Cookie cookie = new Cookie("token", token);cookie.setMaxAge(3600);cookie.setDomain("localhost");cookie.s...
JWT产生和验证Token
热门推荐
yjclsx的博客
07-31 44万+
Token验证   最近了解下基于 Token 的身份验证,跟大伙分享下。很多大型网站也都在用,比如 Facebook,Twitter,Google+,Github 等等,比起传统的身份验证方法,Token 扩展性更强,也更安全点,非常适合用在 Web 应用或者移动应用上。Token 的中文有人翻译成 “令牌”,我觉得挺好,意思就是,你拿着这个令牌,才能过一些关卡。 传统的Token验证 ...
SPA登录实现+JWT生成Token+cookie携带Token+代码
王某的博客
03-27 8939
理论知识 Token JWT 干货 如何存储token,前后端如何用token进行“交流” 总的思路之文字说明 总的思路之流程图说明 完整代码之token 注意 SPA单页面登录其他代码 参考 ——————————————————- 理论知识 前言:本人承诺,本文是在查阅了大量资料并且实践了之后的用心写作。 Token 理论参考:SSO单点登录使用to...
关于jwttoken是否要存储到redis的问题探讨
keleyayalo的博客
06-28 2150
在开发项目的登录模块的时候,采用了Jwt+redis,做完后若有所思,为什么用了Jwt还要加redis,是否有些多余,于是查阅资料,有了一些了解,如果有不足的地方请大家帮忙纠正。
sessionStorage、localStoragecookies、token、session、jwt区别
cxz
05-08 909
cookies、sessionStorage、localStorage 和 indexDB 的区别 是否在http请求只能够携带 cookie数据始终在同源的http请求中携带,跨域需要设置withCredentials = true sessionStorage和localStorage、indexDB不会自动把数据发给服务器,仅在本地保存 存储大小 cookie数据大小不能超过4k; sessionStorage和localStorage虽然也有存储大小的限制,但比cookie大得多,可以
什么是 JWT? 如何基于 JWT 进行身份验证?
JavaMonsterr的博客
07-08 3586
JWT (JSON Web Token) 是目前最流行的跨域认证解决方案,是一种基于 Token 的认证授权机制。从 JWT 的全称可以看出,JWT 本身也是 Token,一种规范化之后的 JSON 结构的 TokenToken 自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。可以看出,JWT 更符合设计 RESTful API 时的「Stateless(无状态)」原则 。并且, 使用 Token 认证可以有
session、tokenJWT的一文详细介绍
weixin_45709829的博客
04-06 1649
一、认证Authentication 认证就是验证当前用户的身份,证明身份 认证的应用 用户密码登录 邮箱发送登录链接 手机号接收验证码 二、授权Authorization 授权就是用户授予第三方应用访问用户某些资源的权限 授权的应用 手机第三方app询问是否授权(访问相册、地理位置等权限) 访问微信小程序,登录的时候会询问是否允许授权(获取昵称、头像、地区、性别等个人信息) 实现方式 cookie session token 三、凭证Credentials 实现认证和授权的前提是
JWT(JSON Web Token
m0_46364778的博客
04-02 1642
JWT
你的JWTs存储在哪里
小马亦识途
07-01 6848
如何存储这些令牌。如果你正在构建一个web应用程序,你有两种选择: HTML5 Web Storage (localStorage或sessionStorage) Cookies 比较这两个,假设我们有一个虚构的AngularJS或单页应用(SPA)叫做galaxies.com,登录路由(/token)验证用户身份返回一个JWT。访问你的SPA其他API端点服务,客户端需要传递一个有效的JWT
jwt 本地存储的三种方式
XWenXiang的博客
07-02 1689
jwt 即对用户登录状态的一种标识,我们带着其返回的 token 来向后端发起请求,后端服务器根据 token 进行判断是否正确,过期来判断用户的状态,进而决定是否向前端发送数据。这里记录一下前端如何对 token 或者其他数据进行存储。属于本地存储,浏览器关闭后便失效 3. localStorage 属于本地存储,长期有效,浏览器关闭之后也有效。用法与上面类似...............
Oauth2 令牌的存储 -- JwtTokenStore、授权服务器的配置与开发
awodwde的博客
02-20 1384
由实现类我们可以清楚的看到 存储令牌的方式有:存储在JDBC数据库中,存储在Redis中,存储在内存中(memory,授权服务器关闭,token失效) 而我们实际项目是使用的是JwtTokenStore JWK : json web key JwtTokenStore: 可以实现无状态,认证服务器存储token,可以采用jwtTokenStore 授权服务器的配置 继承 AuthorizationServerConfigurerAdapter 重写三个configure方...
OAuth2.0实战,使用JWT令牌认证
终码一生
12-15 5445
点击“终码一生”,关注,置顶公众号 每日技术干货,第一时间送达! 今天这篇文章介绍一下OAuth2.0如何集成JWT颁发令牌,这也是目前企业中主流的令牌形式。 文章目录如下: 什么是JWT? OAuth2.0体系中令牌分为两类,分别是透明令牌、不透明令牌。 不透明令牌则是令牌本身不存储任何信息,比如一串UUID,上篇文章中使用的InMemoryTokenStore就类似这种。 因此资源服务拿到这个令牌必须调调用认证授权服务的接口进行令牌的校验,高并发的情况下延迟很高,性能很低,正如上篇
Jwttoken应该存储到哪里?
weixin_30548917的博客
08-02 5087
关于 token存储问题 JWT: csrf 攻击无法获取第三方的 cookie,而是直接使用 cookie进行查询的时候会自动携带 cookie。 xss攻击通过代码注入可以获取 cookie。需要设置转义。 方式一、客户端使用 cookie直接认证,需要设置 cookie为 httpOnly,可以防止 xss攻击。但是无法防止 csrf攻击。需要设置伪随机数X-XS...
jwt token存储在redis中
07-27
您可以将JWT令牌存储在Redis中,以便进行有效的令牌验证和管理。要实现这一点,您可以按照以下步骤进行操作: 1. 生成JWT令牌:根据您的身份验证逻辑和需求生成JWT令牌。 2. 将JWT令牌存储在Redis中:使用Redis的SET命令将JWT令牌作为键值对存储在Redis中。您可以将JWT令牌作为键,将相关的用户信息(例如用户ID、权限等)作为值存储在Redis中。 3. 验证JWT令牌:当客户端发送请求时,您可以通过获取请求中的JWT令牌,并使用Redis的GET命令来检查该令牌是否存在于Redis中。 4. 令牌过期管理:您可以使用Redis的过期时间设置来管理JWT令牌的过期。在生成JWT令牌时,可以设置一个适当的过期时间,并将其与JWT令牌一起存储在Redis中。当客户端发送请求时,您可以检查JWT令牌是否已过期,如果已过期,则需要重新生成新的JWT令牌。 5. 令牌撤销管理:如果您需要撤销JWT令牌,可以使用Redis的DEL命令从Redis中删除相应的JWT令牌。 通过在Redis中存储JWT令牌,您可以实现快速有效地验证和管理令牌,同时也可以方便地进行令牌的撤销和过期管理。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值