客户端jwt存储在localStorage与cookie有什么区别

于 2024-03-11 14:56:32 发布
阅读量413 收藏 8
点赞数 7
文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44305130/article/details/136624118
版权

客户端存储JWT(JSON Web Tokens)时,常见的两种方式是使用localStorage和cookie。这两种方法各有优缺点,适用于不同的场景。下面将详细解释这两种存储方式的区别:

 

1. 安全性

Cookie:可以设置为仅通过HTTP传输(设置HttpOnly属性),这意味着这些cookie无法通过JavaScript访问,从而减少了XSS(跨站脚本攻击)的风险。如果设置了Secure属性,cookie只会在加密的请求中被传输,进一步增加安全性。此外,还可以设置SameSite属性来减少CSRF(跨站请求伪造)攻击的风险。

localStorage:易受XSS攻击,因为攻击者可以通过注入恶意脚本来读取localStorage中的数据。但是,它不会自动随每个HTTP请求发送到服务器,因此不直接暴露于CSRF攻击。

2. 生命周期

Cookie:可以设置过期时间,到期后自动删除,或者在浏览器会话结束时删除。这使得管理用户会话(如自动登出用户)更为方便。

localStorage:没有自动过期的概念,数据会一直存在直到被明确删除,或者用户清除浏览器数据。

3. 存储限制和兼容性

  • Cookie:大小限制较小,通常每个域名下约为4KB,并且每个请求都会携带cookie,增加了请求的负载。大多数现代和旧式浏览器都支持cookie。
  • localStorage:提供更大的存储空间(至少5MB),并且数据不会随每个服务器请求发送。支持localStorage的浏览器包括所有现代浏览器及IE8及以上版本,但不支持更旧的浏览器。

4. 访问范围

  • Cookie:可以设置对特定路径或域的访问限制。
  • localStorage:仅限于从相同的协议、域名和端口访问。

选择建议

  • 如果你需要最大限度地减少XSS的风险,并且需要在服务器端验证身份信息,使用HttpOnlySecure标记的cookie可能是更好的选择。同时,通过适当配置可以减少CSRF攻击的风险。
  • 如果你更关注在客户端存储较大量的数据,并且可以接受通过客户端代码来管理身份验证状态,那么localStorage可能是一个合适的选择。但是,你需要采取措施减少XSS攻击的风险。

总之,选择哪种存储方式取决于你的应用需求、安全要求以及用户体验考虑。在实际应用中,也可以结合使用这两种方法,以达到最佳的效果。

qq_44305130
关注
  • 7
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
JWT使用教程
xiaozhuang_001的博客
10-02 618
JWT是json web token的简写,意为json格式的token。 什么是token Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 组成部分 header(头部) header的作用主要是表明Signature使用的加密算法和token的类型 Payload(负载) 用于存放我们需要校验的信息,不要存放敏感信息,譬如密码。因为head
Cookies、Session、JWTlocalStorage、SessionStorage
DoubleC的博客
09-07 136
一、Cookie 二、Session 三、JWT 四、Localstorage 五、SessionStorage
16. cookie、session、token、JWTlocalStorage、sessionStorage
sunnnnh的博客
05-21 551
一、Cookie 1.1 为什么有cookie和seesion?(http请求是无状态的) 客户端请求 服务器, 属于HTTP请求。http请求是无状态的,即每次服务端接收到客户端的请求时,都是一个全新的请求,服务器并不知道客户端的历史请求记录;所以当用户从客户端请求一次登录后,登录成功,再次进行请求时,因为服务器不能识别这两次会话都是来自同一个浏览器,即服务端不知道客户端的历史请求记录;就会再次弹出登录对话框。 为了解决客户端与服务端会话同步问题。这便引出了:cookie、session,用来跟踪.
如何安全储存JWTCookie与Web Storage
Innocence_0的博客
02-19 590
如何安全储存JWTCookie与Web Storage
JWT原理详解
前端那些事@时光
09-27 3273
JWT原理详解 随着前后端分离的发展,以及数据中心的建立,越来越多的公司会创建一个中心服务器,服务于各种产品线。 而这些产品线上的产品,它们可能有着各种终端设备,包括但不仅限于浏览器、桌面应用、移动端应用、平板应用、甚至智能家居 实际上,不同的产品线通常有自己的服务器,产品内部的数据一般和自己的服务器交互。 但中心服务器仍然有必要存在,因为同一家公司的产品总是会存在共享的数据,比如用户数据 这些设备与中心服务器之间会进行http通信 一般来说,中心服务器至少承担着认证和授权的功能,例如登录:各种设备发
JWT相关知识及Cookie, Session,Token和JWT区别总结.pdf
05-31
- **身份验证**:用户登录后,服务器会返回一个JWT,之后用户可以将其储存在本地(例如CookieLocalStorage),每次请求时附带上JWT以证明身份。 - **授权**:JWT可以包含权限信息,允许客户端直接访问受保护的资源...
vuejwtauth:Vue.js(和Quasar)应用程序的客户端JWT身份验证包
05-07
使用以下驱动程序之一将JWT存储在令牌存储中: cookie驱动程序(推荐)。 localStorage驱动程序。 您可以创建自己的令牌存储驱动程序。 注销功能。 自动注销空闲用户(默认情况下为5分钟,但您可以配置它或完全...
Angular之jwt令牌身份验证的实现
11-21
部分内容详细介绍了JWT的工作原理,当用户成功登录后,服务器生成JWT并将其返回给客户端客户端通常会将JWT存储cookie中,以便在后续请求中携带此令牌。JWT由三个部分组成:Header、Payload和Signature。Header...
SpringSecurity之JWT实现token认证和授权.zip
08-09
客户端收到JWT后,将其存储在本地(例如,浏览器的localStorage)。在后续的请求中,客户端需要在Authorization头中附带此JWT。Spring Security的过滤器链会拦截这些请求,检查Authorization头中的JWT,并使用相同的...
nextjs-jwt-authentication:用于演示 Next.js 应用程序与 JWT 身份验证的概念验证应用程序
08-04
Next.js JWT 认证用于演示 Next.js 应用程序与 JWT 身份验证的概念验证应用程序。 该应用程序是在渲染服务器和 API ... 这个想法是从客户端的服务器接收令牌,将其存储cookie 中,然后每当页面在服务器上呈现时,我
jwt 本地存储的三种方式
XWenXiang的博客
07-02 1538
jwt 即对用户登录状态的一种标识,我们带着其返回的 token 来向后端发起请求,后端服务器根据 token 进行判断是否正确,过期来判断用户的状态,进而决定是否向前端发送数据。这里记录一下前端如何对 token 或者其他数据进行存储。属于本地存储,浏览器关闭后便失效 3. localStorage 属于本地存储,长期有效,浏览器关闭之后也有效。用法与上面类似...............
浏览器的存储cookie(httponly)、localStorage、sessionStorage、indexed对比
weixin_43850639的博客
08-31 315
大小cookie<<IndexedDB生命周期cookie(如果设置了过期时间) =IndexedDB与服务器交互: 只有cookie会随HTTP请求自动发送。结构: 只有IndexedDB提供了数据库的功能和结构。用途: 根据存储需求和数据的大小、持续性来选择合适的存储机制。httpOnly是一个标志,可以在服务器端设置为Cookie。当一个Cookie被标记为httpOnly时,这意味着这个Cookie不能被客户端的JavaScript访问。
你的JWTs存储在哪里
小马亦识途
07-01 6781
如何存储这些令牌。如果你正在构建一个web应用程序,你有两种选择: HTML5 Web Storage (localStorage或sessionStorage) Cookies 比较这两个,假设我们有一个虚构的AngularJS或单页应用(SPA)叫做galaxies.com,登录路由(/token)验证用户身份返回一个JWT。访问你的SPA其他API端点服务,客户端需要传递一个有效的JWT
jwt应该保存在哪里
java技术博客
07-10 1888
参考网址:看这篇文章前 , 我也在考虑这个问题 , gitee 上很多的开源项目, 关于 token 令牌的存放位置 , 每个项目都是有点差异 , 有的存放在 cookie , 有的存放在 LocalStorage , 有的存放在 SessionStorage , 经过本文的阅读 , token 存放在 cookie 是最好的一个方案服务端可以将JWT令牌通过Cookie发给浏览器,浏览器在请求服务端接口时会自动在Cookie头中带上JWT令牌,服务端对Cookie头中的JWT令牌进行检验即可实现身份验
存储JWT令牌的几种方式
qq_62357662的博客
12-12 334
请注意,使用客户端存储的方式来存储JWT令牌存在一定的安全风险。为了增加安全性,请确保采取适当的措施来保护JWT令牌,例如使用HTTPS来传输令牌并设置适当的过期时间。2.Session Storage:类似于Local Storage,Session Storage也可以用于存储JWT令牌,但是仅在当前会话期间有效。4.在内存中:您还可以将JWT令牌存储在JavaScript的变量中,在运行时使用。1.Local Storage:您可以使用浏览器提供的Local Storage来存储JWT令牌。
JWT(JSON Web Token)
m0_46364778的博客
04-02 1563
JWT
JWT 底层原理与使用
weixin_52621900的博客
09-06 496
JWT 的出现就是为了解决传统Session + Cookie 技术存在的各种问题,实际上随着前后端分离的发展,以及数据中心的建立,越来越多的公司会创建一个中心服务器,同时服务于各种产品线,如:统一身份认证平台,这些产品线上的产品,他们可能有各种终端设备,包括但不仅限于浏览、桌面应用、移动端应用、平板应用、甚至于智能家居。JWT(json web token),json格式的网络令牌,简称token,它要解决的问题,就是为多种终端设备,提供统一的、安全的令牌格式。
localStoragejwt的问题记录,取到本地缓存里面的信息展现在页面上
qq5678574的博客
01-27 386
在调用登录接口后,把得到的user数据都用localStorage存到本地,用setItem。 然后在request.js里面,用getItem取到它。(注意格式,把他从字符串转为对象) 这是user的返回结果,userObj.jwt 这样取到jwt ps:userObj是user转换为对象 所以呢,在登录进来后的首页,就可以再次通过本地存储里的缓存去到user里面的信息,包括要展示的name,或者phone。 这样user.name就可以在页面展示出来。 ...
Token放在 cookie, sessionStorage 和 localStorage 中的区别
温情
06-07 8431
什么是token
cookie和token和sessionStorage和localStorage区别
最新发布
06-07
Cookie、Token和 sessionStorage 和 localStorage 都是浏览器中用于存储数据的机制,但它们在用途、生命周期和数据大小等方面有所不同: 1. **Cookie**: - **用途**: Cookie 主要用于跟踪用户身份和设置,比如网站登录状态或用户的首选项。它们通常发送到服务器,服务器会回传一个带有特定域限制的标识。 - **生命周期**: 客户端控制,有默认过期时间(一般为1-2周)或由开发者设定的max-age属性。每次页面刷新都会发送给服务器。 - **大小限制**: 早期的限制通常较小,现在最大可达4KB,具体取决于浏览器配置。 - **安全性**: 容易被劫持,因为可以通过浏览器的cookies.txt文件查看。 2. **Token (通常指JWT)**: - **用途**: JWT(JSON Web Token)主要用于跨域身份验证,包含用户信息,服务器验证后返回给客户端客户端在每个请求头中附带此令牌。 - **生命周期**: 可以设置为长或短,可包含自签发到过期的详细信息,也可以通过服务器进行刷新。 - **存储位置**: 常见的是在HTTP头部,不是浏览器存储,但有时前端也会存储为局部存储。 - **安全性**: 加密和签名确保了令牌的安全性,但同样可能因拦截而暴露。 3. **sessionStorage**: - **用途**: 仅在当前会话期间有效,存储的数据是私有的,不会发送到服务器,适用于临时保存用户交互信息。 - **生命周期**: 直到浏览器窗口关闭或刷新页面时失效。 - **数据大小**: 比localStorage大,一般限制在5MB左右,但不同浏览器可能有差异。 - **跨域限制**: 同源策略限制,不能跨域访问。 4. **localStorage**: - **用途**: 存储长期数据,如用户的设置或首选项,生命周期长,直到用户清除浏览器数据。 - **生命周期**: 没有明确的过期日期,除非手动删除或达到存储限制。 - **数据大小**: 较大,通常超过5MB,但同样受浏览器配置影响。 - **跨域限制**: 同样受限于同源策略,且同源情况下才能读取。 相关问题: 1. 如何根据数据的敏感性和使用场景选择合适的存储方式? 2. 当用户关闭浏览器后,sessionStorage和localStorage的数据处理方式有何不同? 3. 使用Cookie时,如何设置一个自定义过期时间?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值