Kur es varu glabāt JWT noslēpumus?

2024 Autors: Lynn Donovan | [email protected]. Pēdējoreiz modificēts: 2023-12-15 23:50

Veikals JWT droši

A JWT vajag būt glabājas drošā vietā lietotāja pārlūkprogrammā. Ja jūs veikals tas ir pieejams lokālajā krātuvē, tam var piekļūt ar jebkuru skriptu jūsu lapā (kas ir tikpat slikti, kā tas izklausās, jo XSS uzbrukums var ļaut ārējam uzbrucējam piekļūt pilnvarai).

Jautājums ir arī par to, kur man vajadzētu uzglabāt API atslēgas?

Tā vietā, lai iegultu savu API atslēgas jūsu pieteikumos, veikals tos vides mainīgajos vai failos ārpus lietojumprogrammas avota koka. Ne uzglabāt API atslēgas failos jūsu lietojumprogrammas avota kokā.

Turklāt, vai man jāglabā JWT datu bāzē? Tu varētu uzglabāt uz JWT iekš db bet jūs zaudējat dažas priekšrocības, ko sniedz a JWT . The JWT dod jums priekšrocības, ka tas nav vajadzīgs uz pārbaudiet marķieri a db katru reizi, jo jūs varat vienkārši izmantot kriptogrāfiju uz pārbaudiet, vai marķieris ir likumīgs. Jūs joprojām varat izmantot JWT ar OAuth2 bez uzglabāšanu žetonus db Ja tu vēlies.

Kur jūs glabājat JWT marķieri, reaģējiet?

JWT marķiera glabāšana Mēs varam veikals to kā klienta puses sīkfailu vai lokālajā krātuvē vai sessionStorage. Katrai opcijai ir plusi un mīnusi, taču šai lietotnei mēs to darīsim veikals to sesijāStorage.

Kur tiek glabāti piekļuves marķieri?

3 atbildes. Klients OAuth terminoloģijā ir komponents, kas veic pieprasījumus resursu serverim, jūsu gadījumā klients ir tīmekļa lietojumprogrammas (NEvis pārlūkprogrammas) serveris. Tāpēc, pieejas atslēga jāglabā tikai tīmekļa lietojumprogrammu serverī.