我有一个 Angularjs 1.6 应用程序。
我正在使用JWT(Json Web 令牌)身份验证。这意味着在登录时,我将凭据发送到服务器,服务器回复一个 JWT 令牌,前端将在任何其他请求中发送该令牌以证明用户已被识别。
服务器将在发送任何数据之前检查令牌是否有效。
在一次安全审计期间,一家外部公司在我们的网站上进行了渗透测试,然后回来说:
“AuthSession” cookie 未标记为安全
我试图了解我必须做些什么才能使其“安全”。
我使用ngStorage将令牌存储在 localStorage 中,因此我必须存储令牌的唯一代码行是:
$localStorage['TOKEN'] = iToken;
我认为我没有正确理解“cookie 未标记为安全”的含义。
查看各种网站,似乎(使用 cookie,我不确定 localStorage 是否相同)将 cookie 标记为安全,您只需在要存储的值的末尾添加“;secure” .
所以我的问题是:如何使用 ngStorage 使存储令牌“安全”?我是否只需要在令牌末尾附加“;secure”并在检索令牌时将其剥离?