Որտեղ կարող եմ պահել JWT գաղտնիքները:

2024 Հեղինակ: Lynn Donovan | [email protected]. Վերջին փոփոխված: 2023-12-15 23:48

Խանութ JWT-ները ապահով

Ա JWT պետք է լինի պահված օգտատիրոջ բրաուզերի ներսում ապահով վայրում: Եթե դու խանութ այն localStorage-ի ներսում, այն հասանելի է ձեր էջի ներսում գտնվող ցանկացած սկրիպտով (ինչը այնքան վատ է, որքան թվում է, քանի որ XSS հարձակումը կարող է թույլ տալ արտաքին հարձակվողին մուտք գործել նշան):

Նաև հարց է՝ որտեղ պետք է պահեմ API ստեղները:

Ձեր ներկառուցման փոխարեն API ստեղներ ձեր դիմումներում, խանութ դրանք շրջակա միջավայրի փոփոխականներում կամ ձեր հավելվածի սկզբնաղբյուր ծառից դուրս գտնվող ֆայլերում: Մի՛ պահպանել API ստեղները ձեր հավելվածի սկզբնաղբյուր ծառի ներսում գտնվող ֆայլերում:

Բացի այդ, պե՞տք է JWT-ն պահեմ տվյալների բազայում: Դուք կարող էր պահել որ JWT մեջ դբ բայց դուք կորցնում եք մի քանի առավելություններ a JWT . Այն JWT տալիս է ձեզ կարիք չունենալու առավելությունը դեպի ստուգեք նշանը ա դբ ամեն անգամ, քանի որ դուք կարող եք պարզապես օգտագործել ծածկագրությունը դեպի ստուգեք, որ նշանը օրինական է: Դուք դեռ կարող եք օգտագործել JWT OAuth2-ով առանց պահեստավորում նշանները մեջ դբ Եթե ուզում եք.

Այսպիսով, որտեղ եք պահում JWT նշանի արձագանքը:

JWT Token-ի պահպանում Մենք կարող ենք խանութ այն որպես հաճախորդի կողմի թխուկ կամ տեղական պահեստում կամ sessionStorage-ում: Յուրաքանչյուր տարբերակում կան դրական և բացասական կողմեր, բայց այս հավելվածի համար մենք դա կանենք խանութ այն sessionStorage-ում:

Որտե՞ղ են պահվում մուտքի նշանները:

3 Պատասխաններ. Հաճախորդը, OAuth տերմինաբանությամբ, բաղադրիչն է, որը հարցումներ է կատարում ռեսուրսների սերվերին, ձեր դեպքում հաճախորդը վեբ հավելվածի սերվերն է (ՈՉ բրաուզերը): Հետևաբար, ի մուտքի նշան պետք է պահվի միայն վեբ հավելվածի սերվերում: