Es gibt eine Menge Artikel rund um diskutieren, was ist der beste Ort, um JWT auf der Clientseite zu speichern. Kurz gesagt, sie sind alle über sind -jwt Authentifizierung: Cookie vs Header
Http-only sicheres Cookie - keine XSS, aber vulnarable
Header XSRF (gespeichert im lokalen Speicher oder DOM) - ohne XSRF, aber vulnarable zu
XSS
ich glaube, ich mit einer extrem versierten Lösung dieses Problem kommen, aber da ich komplett Noob bin in Sicherheit bin ich nicht sicher, ob es wirklich versierte oder dumm ist.
Also, was ist, wenn Sie JWT teilen und einen Teil davon im Cookie und einen anderen Teil im Header speichern? Wäre es unzerstörbar?
Dies soll auch lösen 'Abmelden' Problem -. Kopfteil Löschen würde in Browser nicht in der Lage Protokollierung macht
Mit freundlichen Grüßen, Eugene.
Aber extra Cookie zum Schutz vor XSRF bedeutet, Server-Side-Session zu halten, nicht wahr? Wenn dies der Fall ist, ist das Zusammenkleben von JWT viel einfacher und leichter. Und wenn nur ein Teil von JWT im lokalen Speicher gespeichert ist, kann es für einen Angreifer von Nutzen sein? – user656449