我们正在使用带有 JWT 身份验证插件的 Kong API 网关实现示例应用程序。
正如在这个线程中提到的,有两种方法可以在浏览器中存储 JWT。网络存储或 cookie。但是网络存储(即会话存储和本地存储)很容易受到跨站脚本攻击(XSS)的攻击。所以其他选择是cookie。(虽然应该注意 CSRF)
我有两个问题,
如果我们使用Web 存储来存储 JWT,那么有什么方法可以阻止 XSS。如果是,那么如果在新选项卡中打开同一页面或重新加载同一页面,它将如何工作?
使用 cookie:我们能够在请求中发送 cookie。但是,只有在标头( )上设置
Authorisation: Bearer token
了 JWT并且不使用 cookie 进行身份验证时,KONG 才会对端点 URL进行身份验证。有什么方法可以验证使用 KONG API Gateway 在 cookie 中设置的 JWT 吗?