jwt Authentifizierung: Cookie vs Header

Question

Es gibt eine Menge Artikel rund um diskutieren, was ist der beste Ort, um JWT auf der Clientseite zu speichern. Kurz gesagt, sie sind alle über sind -

• Http-only sicheres Cookie - keine XSS, aber vulnarable

• Header XSRF (gespeichert im lokalen Speicher oder DOM) - ohne XSRF, aber vulnarable zu

  XSS

ich glaube, ich mit einer extrem versierten Lösung dieses Problem kommen, aber da ich komplett Noob bin in Sicherheit bin ich nicht sicher, ob es wirklich versierte oder dumm ist.

Also, was ist, wenn Sie JWT teilen und einen Teil davon im Cookie und einen anderen Teil im Header speichern? Wäre es unzerstörbar?

Dies soll auch lösen 'Abmelden' Problem -. Kopfteil Löschen würde in Browser nicht in der Lage Protokollierung macht

Mit freundlichen Grüßen, Eugene.

Answer 1

Der JWT muss zusammen bleiben, sonst funktioniert die Signaturvalidierung nicht.

Der Schutz vor XSRF ist ziemlich einfach, Sie brauchen nur einen weiteren Cookie.

Verwenden Sie niemals lokalen Speicher zum Speichern von Authentifizierungsinformationen, es folgt nicht den gleichen Domänen- und Ursprungsregeln wie Cookies. Lesen Sie hier mehr:

https://www.owasp.org/index.php/HTML5_Security_Cheat_Sheet#Storage_APIs

Haftungsausschluss: Ich arbeite bei Stormpath, wir haben eine Lösung Benutzerverwaltung gehostet und wir viel Zeit für Sicherheit ausgeben. Ich habe zwei Blog-Beiträge geschrieben, wo ich JWTs und Front-End-Auth diskutieren:

Token Based Authentication for Single Page Apps (SPAs)

https://stormpath.com/blog/build-secure-user-interfaces-using-jwts/

hoffe, das hilft!