היכן אוכל לאחסן את סודות JWT?

2024 מְחַבֵּר: Lynn Donovan | [email protected]. שונה לאחרונה: 2023-12-15 23:47

חנות JWTs בצורה מאובטחת

א JWT צריך להיות מְאוּחסָן במקום בטוח בתוך הדפדפן של המשתמש. אם אתה חנות זה בתוך localStorage, זה נגיש על ידי כל סקריפט בתוך הדף שלך (וזה גרוע כמו שזה נשמע, מכיוון שהתקפת XSS יכולה לאפשר לתוקף חיצוני לקבל גישה לאסימון).

כמו כן, השאלה היא, היכן עלי לאחסן מפתחות API?

במקום להטביע את שלך מפתחות API באפליקציות שלך, חנות אותם במשתני סביבה או בקבצים מחוץ לעץ המקור של היישום שלך. אל לאחסן מפתחות API בקבצים בתוך עץ המקור של היישום שלך.

בנוסף, האם עלי לאחסן JWT במסד נתונים? אתה יכול לאחסן ה JWT בתוך ה db אבל אתה מאבד חלק מהיתרונות של א JWT . ה JWT נותן לך את היתרון של לא להזדקק ל בדוק את האסימון ב-a db בכל פעם שכן אתה יכול פשוט להשתמש בקריפטוגרפיה ל לוודא שהאסימון לגיטימי. אתה עדיין יכול להשתמש JWT עם OAuth2 בלי אחסון אסימונים ב- db אם אתה רוצה.

מכאן, היכן אתה מאחסן אסימון JWT מגיב?

אחסון JWT Token אנחנו יכולים חנות זה כקובץ cookie בצד הלקוח או באחסון מקומי או ב-SessionStorage. יש יתרונות וחסרונות בכל אפשרות, אבל עבור האפליקציה הזו, אנחנו נעשה זאת חנות זה ב-SessionStorage.

היכן מאוחסנים אסימוני גישה?

3 תשובות. הלקוח, בטרמינולוגיה של OAuth, הוא הרכיב שמגיש בקשות לשרת המשאבים, במקרה שלך, הלקוח הוא השרת של יישום אינטרנט (לא הדפדפן). לכן, ה אסימון גישה יש לאחסן בשרת יישומי האינטרנט בלבד.