JWT Token存储在Cookie还是Web Storage

最新推荐文章于 2024-03-24 01:07:42 发布
最新推荐文章于 2024-03-24 01:07:42 发布
阅读量1.5w 收藏 8
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hxg117/article/details/76954606
版权
JWT  是将web 应用无状态化的一种方式。

1. 首先拿到JWT Token
HTTP/1.1
POST /token
Host: galaxies.com
Content-Type: application/x-www-form-urlencoded
username=abc&password=password

服务器返回
HTTP/1.1 200 OK
{
  "access_token": "eyJhbGciOiJIUzI1NiIsI.eyJpc3MiOiJodHRwczotcGxlL.mFrs3Zo8eaSNcxiNfvRh9dqKP4F1cB",
       "expires_in":3600
 }

下次请求时,需要带上这个token,以便服务器验证。

2. 将Token存储于LocalStorage或SessionStorage

function tokenSuccess(err, response) {
    if(err){
        throw err;
    }
    $window.sessionStorage.accessToken = response.body.access_token;
}

接下来的请求需要带上Token:
HTTP/1.1
GET /stars/pollux
Host: galaxies.com
AuthorizationBearer eyJhbGciOiJIUzI1NiIsI.eyJpc3MiOiJodHRwczotcGxlL.mFrs3Zo8eaSNcxiNfvRh9dqKP4F1cB


缺点:
由于LocalStorage 和 SessionStorage 都可以被 javascript 访问,所以容易受到XSS攻击。尤其是项目中用到很多第三方的Javascript类库。
另外,需要应用程序来保证Token只在HTTPS下传输。

3. 将Token存储于Cookie
HTTP/1.1 200 OK
Set-Cookie: access_token=eyJhbGciOiJIUzI1NiIsI.eyJpc3MiOiJodHRwczotcGxlL.mFrs3Zo8eaSNcxiNfvRh9dqKP4F1cB; Secure; HttpOnly;

随后的请求需要带上Token
GET /stars/pollux
Host: galaxies.com
Cookie: access_token=eyJhbGciOiJIUzI1NiIsI.eyJpc3MiOiJodHRwczotcGxlL.mFrs3Zo8eaSNcxiNfvRh9dqKP4F1cB;

优点:
可以指定 httponly,来防止被Javascript读取,也可以指定secure,来保证token只在HTTPS下传输。
缺点:
不符合Restful 最佳实践。
容易遭受CSRF攻击 (可以在服务器端检查 Refer 和 Origin)

4. 推荐使用Cookie来存储Token
相比较而言,Web Storage比Cookie更容易受到攻击。


Andy__Han
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
JWT Token生成及验证
07-16
JWT Token生成及验证:JSON WEB TOKEN,简单谈谈TOKEN的使用及在C#中的实现
JWT Token存储Cookie还是LocalStorage
cjl969911737的博客
07-28 8664
JWT 是将web 应用无状态化的一种方式。 1. 首先拿到JWT Token HTTP/1.1 POST /token Host: galaxies.com Content-Type: applic...
说一下token 能放在cookie中吗?
最新发布
m0_74114605的博客
03-24 97
token可以存放在Cookie中,token 是否过期,应该由后端来判断,不该前端来判断,所以token存储cookie中只要不设置cookie的过期时间就ok了,如果 token 失效,就让后端在接口中返回固定的状态表示token 失效,需要重新登录,再重新登录的时候,重新设置 cookie中的 token就行。(签名,token 的前几位以哈希算法压缩成的一定长度的十六进制字符串)。token一般是用来判断用户是否登录的。(用户唯一的身份标识)、(当前时间的时间戳)、
Cookie,Session,TokenJWT的基本使用以及区别介绍
qq_43293207的博客
12-26 1050
1. 前言 由于http协议的无状态性。每一次的http请求不会记住和保存任何会话信息,比如上一次的请求发送者和这一次的发送者是不是同一个人?每次请求都是全新和独立的。随着交互式Web应用的兴起, 像在线购物网站,需要登录的网站等,马上面临一个问题,就是要管理回话,记住那些人登录过系统,哪些人往自己的购物车中放商品,也就是说我必须把每个人区分开。 2. Cookie Cookie是浏览器实现的一种数据存储技术。一般由服务器生成,发送给浏览器(客户端也可进行cookie设置)进行存储,下一次请求同一网站时会把
全网最细总结-Seesion,Cookie以及JWT的区别
qq_42898642的博客
06-14 735
全网最详细,关于session,cookietoken的用户认证的原理与区别
如何安全储存JWTCookieWeb Storage
WLsweety的博客
02-12 568
黑客的代码和你的代码一样被用户信任!支持Cookie的开发人员会强烈建议不要将敏感信息(例如JWT)储存在Local Storage中,因为它对于XSS毫无抵抗力,并且批判培训班或者大部分开发人员总是一股脑的选择Local Storage,而忽视了安全这个最大的问题。这种观点是不全面的,Local storage 有着与 Cookie一样的安全机制,只有加了httpOnly 和 secure 的Cookie才更加安全,对于普通的Cookie,它的安全等级与Local Storage并无差别。
什么是 JWT? 如何基于 JWT 进行身份验证?
JavaMonsterr的博客
07-08 3391
JWT (JSON Web Token) 是目前最流行的跨域认证解决方案,是一种基于 Token 的认证授权机制。从 JWT 的全称可以看出,JWT 本身也是 Token,一种规范化之后的 JSON 结构的 TokenToken 自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。可以看出,JWT 更符合设计 RESTful API 时的「Stateless(无状态)」原则 。并且, 使用 Token 认证可以有
JWT应该保存在哪里?
码农小胖哥
10-11 6335
最近几年的项目我都用JWT作为身份验证令牌。我一直有一个疑问:服务端发放给浏览器的JWT到底应该存储在哪里?这里只讨论浏览器的场景,在这个场景里有三种选择。Cookie服务端可以将JWT令...
jwt应该保存在哪里
java技术博客
07-10 1557
参考网址:看这篇文章前 , 我也在考虑这个问题 , gitee 上很多的开源项目, 关于 token 令牌的存放位置 , 每个项目都是有点差异 , 有的存放在 cookie , 有的存放在 LocalStorage , 有的存放在 SessionStorage , 经过本文的阅读 , token 存放在 cookie 是最好的一个方案服务端可以将JWT令牌通过Cookie发给浏览器,浏览器在请求服务端接口时会自动在Cookie头中带上JWT令牌,服务端对Cookie头中的JWT令牌进行检验即可实现身份验
session、tokenJWT的一文详细介绍
weixin_45709829的博客
04-06 1449
一、认证Authentication 认证就是验证当前用户的身份,证明身份 认证的应用 用户密码登录 邮箱发送登录链接 手机号接收验证码 二、授权Authorization 授权就是用户授予第三方应用访问用户某些资源的权限 授权的应用 手机第三方app询问是否授权(访问相册、地理位置等权限) 访问微信小程序,登录的时候会询问是否允许授权(获取昵称、头像、地区、性别等个人信息) 实现方式 cookie session token 三、凭证Credentials 实现认证和授权的前提是
JWT token的小理解
nbl_yc的博客
09-05 2768
jwt token
web api JWT token认证
04-24
web api JWT token认证 Demo 代码,包含跨域访问 api设置。
thinkphp框架使用JWTtoken的方法详解
01-03
一:JWT介绍:全称JSON Web Token,基于JSON的开放标准((RFC 7519) ,以token的方式代替传统的Cookie-Session模式,用于各服务器、客户端传递信息签名验证。 二:JWT优点: 1:服务端不需要保存传统会话信息,没有...
Webapi_JWT_Authentication-master_webapi_jwt_token_
10-03
webapi jwt身份验证请求token(亲测通过)源码
webStroage > cookie > session > jwt 用户信息发展全过程
成长的嘻嘻哥
12-23 271
Web Storage浏览器存储,localStorage本地存储、sessionStorage会话存储
你的JWTs存储在哪里
小马亦识途
07-01 6731
如何存储这些令牌。如果你正在构建一个web应用程序,你有两种选择: HTML5 Web Storage (localStorage或sessionStorage) Cookies 比较这两个,假设我们有一个虚构的AngularJS或单页应用(SPA)叫做galaxies.com,登录路由(/token)验证用户身份返回一个JWT。访问你的SPA其他API端点服务,客户端需要传递一个有效的JWT
sessionStorage、localStoragecookies、token、session、jwt区别
cxz
05-08 738
cookies、sessionStorage、localStorage 和 indexDB 的区别 是否在http请求只能够携带 cookie数据始终在同源的http请求中携带,跨域需要设置withCredentials = true sessionStorage和localStorage、indexDB不会自动把数据发给服务器,仅在本地保存 存储大小 cookie数据大小不能超过4k; sessionStorage和localStorage虽然也有存储大小的限制,但比cookie大得多,可以
Cookie、Session、TokenJWT 的区别
睡不醒大猫的博客
04-23 245
HTTP是无状态的协议:每个请求都是完全独立的,服务端无法确认当前访问者的身份信息,无法分辨上一次的请求发送者和这一次请求的发送者是不是同一个客户端。服务器与浏览器为了进行会话跟踪,就必须主动的去维护一个状态,这个状态用于告诉服务端前后两个请求是否来自同一个浏览器。这个状态就需要通过cookie或者session来实现。cookie存储在客户端:cookie是服务器发送到用户浏览器,并进行保存到本地的数据,它会在浏览器下次向同一服务器再发起请求时被再一次被带到并发送到服务器上面。
JWT(JSON Web Token
m0_46364778的博客
04-02 1465
JWT
jwt token存储在redis中
07-27
您可以将JWT令牌存储在Redis中,以便进行有效的令牌验证和管理。要实现这一点,您可以按照以下步骤进行操作: 1. 生成JWT令牌:根据您的身份验证逻辑和需求生成JWT令牌。 2. 将JWT令牌存储在Redis中:使用Redis的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值