0

我正在使用 AngularJS 和 Spring 作为后端构建单页应用程序。为了使我的后端无状态,我最近研究了 JWT(JSON Web Tokens)。现在这是混乱 -

一个。我应该将响应头上的 JWT 发送到客户端,然后通过 ngCookie 将其保存到 cookie 吗?如果是,我该如何处理 XSS 攻击?

湾。我应该在后端生成的 cookie 中发送 JWT 并在客户端浏览器上设置 cookie 吗?

C。JWT 安全吗?(因为我可以很容易地解码 JWT,顺便说一下,我将在 https 上运行我的应用程序)

如果有更好的方法来保护我的应用程序,我很想知道。

谢谢你。

请分享任何信息。

4

2 回答 2

1

JWT 应该保存在本地存储中。有关更多信息,请参阅此视频:

https://www.youtube.com/watch?v=X7t2pdJYHNI

JWT 不安全。您必须使用 https 来加密您的数据。

于 2015-08-06T17:16:56.733 回答
0

a + b

  • JWT 可以发送到:
  1. 授权标头
  2. 请求正文
  3. 网址参数
  4. 饼干(如果 ^)
  • 并存储在本地存储或cookie文件中(^)。

C

  • JWT 是经过编码和签名的。它没有加密。所以它不应该包含敏感数据(例如密码)。

  • 但是,如果您仍然需要添加一些私有数据,请尝试 JWE(Json Web 加密)。

于 2020-12-24T09:49:31.697 回答